我想将auditd日志数据重定向到rsyslog而不是audit.log文件。

我看到默认情况下，“ / etc / audit / auditd.conf”中包含以下行以将其重定向到

log_file = /var/log/audit/audit.log

是否可以将审核日志重定向到同一台计算机上的syslog或rsyslog。

注意：目前，我没有任何外部日志服务器，并且想在运行我的应用程序的RHEL Server的同一实例上对此进行测试。

非常感谢您的协助。

注意：我的rsyslog服务器和审核日志位于同一服务器实例上。
RHEL-7-> 3.10.0-862.el7.x86_64
谢谢

您可以使用audisp插件-syslog。

path - /etc/audisp/plugins.d/syslog.conf