<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">Hi </div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">I tried my best to configure the audisp-remote.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">I am getting below error on the client machine in /var/log/syslog.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default"><div class="gmail_default" style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">Oct  2 14:41:15 xxxxxx audisp-remote: Error connecting to <a href="http://192.168.103.7">192.168.103.7</a>: Connection refused</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">192.168.103.7 is the IP address of the central log server.</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">Notes: My settings are below:</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">on server as well on client:</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">/etc/audisp/audisp-remote</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div><div><font color="#20124d" face="verdana, sans-serif">remote_server = 192.168.103.7</font></div><div><font color="#20124d" face="verdana, sans-serif">port = 6999</font></div><div><font color="#20124d" face="verdana, sans-serif">local_port = 6999</font></div><div><font color="#20124d" face="verdana, sans-serif">transport = tcp</font></div><div><font color="#20124d" face="verdana, sans-serif">queue_file = /var/spool/audit/remote.log</font></div><div><font color="#20124d" face="verdana, sans-serif">mode = immediate</font></div><div><font color="#20124d" face="verdana, sans-serif">queue_depth = 2048</font></div><div><font color="#20124d" face="verdana, sans-serif">format = ascii</font></div><div><font color="#20124d" face="verdana, sans-serif">network_retry_time = 100</font></div></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">I have enabled name_format=HOSTNAME only in one place (in /etc/audisp/audispd.conf - and not in /etc/audit/auditd.conf</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">entries in auditd.conf:</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif">rtcp_listen_port = 6999</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif">tcp_listen_queue = 5</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif">tcp_max_per_addr = 10</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif">tcp_client_ports = 0-65535</div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif">tcp_client_max_idle = 0</div><div><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small">I see the server is listening on the port 6999 as below but its not accepting client request. </div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><div>root@logs:/etc# lsof -i :6999</div><div>COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME</div><div>audisp-re 9091 root    3u  IPv4  33671      0t0  TCP 192.168.103.7:6999-><a href="http://192.168.103.7:6999">192.168.103.7:6999</a> (ESTABLISHED)</div><div><br></div></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"><br></div><div style="color:rgb(32,18,77);font-family:verdana,sans-serif;font-size:small"> </div></div><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><table cellpadding="0" cellspacing="0" border="0" style="background:none;border-collapse:collapse;color:rgb(85,85,85);font-family:proxima-nova,"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px;border:0px;margin:0px;padding:0px"><tbody><tr><td colspan="2" style="font-family:Arial,Helvetica,sans-serif;padding-bottom:5px"><font size="2" color="#0b5394">Best Regards,<br>Rituraj B</font></td></tr><tr><td colspan="2" style="font-family:Arial,Helvetica,sans-serif;color:rgb(38,56,119);font-size:12px"><br></td></tr></tbody></table></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>