<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Oct 4, 2016 at 11:29 AM, leam hall <span dir="ltr"><<a target="_blank" href="mailto:leamhall@gmail.com">leamhall@gmail.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div>If I put "audit.none" in /etc/rsyslog.conf for the /var/log/messages line, it prevents audisp from logging there even though audisp to syslog is turned on.</div></blockquote><div><br></div><div>I find that hard to believe, since "audit" is not a facility name and that's what rsyslog is expecting and the message I wrote IS what rsyslog prints when you give an invalid facility name, but okay.<br><br></div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div></div><div>Our end state is pretty simple, in theory. We want to have 1 copy of audit events on the system for auditing and send a remote copy elsewhere.</div></blockquote></div><br></div><div class="gmail_extra">Hopefully Steve and friends won't mind that we're so off-topic here, but I would approach that differently if I were you.<br><br></div><div class="gmail_extra">Assuming you're using the rsyslog.conf that comes with RHEL (which includes /etc/rsyslog.d/*.conf before the main directives like the /var/log/messages action line):<br><br>  echo -e 'if $programname == "audispd" then @remotehost\n& ~' > /etc/rsyslog.d/audit.conf<br><br></div><div class="gmail_extra">Note that if you change the syslog plugin to use one of the local facility names (and not just change the priority as we discussed earlier), then you could have rsyslog filter on that instead of the programname -- benefit being that it will get you closer to only matching on actual audit records.<br><br></div><div class="gmail_extra">All that said, if you really want to send audit records to a central host, I hope you've at least considered using auditd's own native functionality.<br></div></div>