3.10.3. 将管理审计日志记录发送到 Syslog 服务器
syslog 处理程序指定审计日志条目发送到 syslog 服务器的参数,特别是 syslog 服务器的主机名和 syslog 服务器侦听的端口。将审计日志记录发送到 syslog 服务器比记录到本地文件或本地 syslog 服务器更安全的选项。可以定义多个 syslog 处理程序并同时处于活动状态。
默认情况下,审计日志在启用时预先配置为输出到文件。使用以下步骤将审计日志记录设置并启用到 syslog 服务器。如需 syslog 处理程序属性,请参阅管理审计日志记录属性。
添加 syslog 处理程序。
通过指定 syslog 服务器的主机和端口,创建 syslog 处理程序。在受管域中,您必须在
/core-service
命令之前使用/host=HOST_NAME
。batch /core-service=management/access=audit/syslog-handler=SYSLOG_HANDLER_NAME:add(formatter=json-formatter) /core-service=management/access=audit/syslog-handler=SYSLOG_HANDLER_NAME/protocol=udp:add(host=HOST_NAME,port=PORT) run-batch
注意要传递的参数因指定的协议而异。
要将处理器配置为使用 TLS 与 syslog 服务器安全地通信,还必须配置身份验证,例如:
/core-service=management/access=audit/syslog-handler=SYSLOG_HANDLER_NAME/protocol=tls/authentication=truststore:add(keystore-path=PATH_TO_TRUSTSTORE,keystore-password=TRUSTSTORE_PASSWORD)
添加对 syslog 处理程序的引用。
在受管域中,您必须在此命令前加上
/host=HOST_NAME
。/core-service=management/access=audit/logger=audit-log/handler=SYSLOG_HANDLER_NAME:add
启用审计日志记录。
请参阅 启用管理审计日志记录以启用审计日志记录。
在 JBoss EAP 中启用对 syslog 服务器的审计日志记录将不起作用,除非操作系统中也启用了日志记录。
有关 Red Hat Enterprise Linux 中的 rsyslog
配置的更多信息,请参阅 Red Hat Enterprise Linux 系统管理员指南的 Rsyslog 基本配置 部分,网址为 https://access.redhat.com/documentation/en/red-hat-enterprise-linux/。