Я хочу скопировать файл аудита на сервер журналов, (CentOS 7)
Когда я помещаю в /etc/rsyslog.conf:
audit.* @logserver:514
Я получаю сообщение об ошибке:
rsyslogd: неизвестное имя средства «аудит» [v8.24.0-41.el7_7.2]
Когда я пытаюсь скопировать журнал аудита, как я это делаю с apache log, я ставлю:
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
if $syslogtag == 'tag_audit_log' then @logserver:514
Я получаю сообщение об ошибке:
rsyslogd: imfile: при загрузочном файле '/var/log/audit/audit.log' делает не существует, но настроен в файловом мониторе stati c - это может указывать на неправильную конфигурацию. Если файл появится позже, он будет автоматически обработан. Причина: в доступе отказано [v8.24.0-41.el7_7.2]
Файл существует:
# ls -lZ /var/log/audit/audit.log
-rw-------. root root system_u:object_r:auditd_log_t:s0 /var/log/audit/audit.log
Как заставить его работать?
Спасибо