<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">HI Steve,</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">I did the necessary, </div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">Change in auditd.conf - log_format to ENRICHED.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">write_logs set to "no" on client and "yes" on aggregating server.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">name_format was already set in auditd.conf and not in audispd.conf on both the servers.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">I still do not see any logs coming in /var/log/audit/audit.log on aggregating server.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">Any debugging tools to see the queue of audisp-remote? The spool file /var/spool/audit/remote.log is not having entries populated (btw I had to create it manually).</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d">Thanks!</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:#20124d"> </div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Oct 4, 2017 at 8:49 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wednesday, October 4, 2017 10:01:49 AM EDT Rituraj Buddhisagar wrote:<br>
> Hi Steve / List<br>
><br>
> Now, I have built auditd from source as per the mail thread and then also<br>
> created a startup script.<br>
><br>
> The auditd is starting successfully.<br>
><br>
> The client is able to connect to the aggregating server.<br>
><br>
><br>
</span>> *node=guslogs type=DAEMON_ACCEPT msg=audit(1507125123.240:7272)<wbr>:<br>
> addr=192.168.103.2 port=60 res=success*<br>
<span class="">><br>
><br>
> I have made the necessary change in the server in /etc/audit/auditd.conf<br>
><br>
</span>> *log_format = NOLOG*<br>
<br>
This is a deprecated option tells it to not write anything to disk.<br>
<span class=""><br>
> I do not see any logs being populated - I checked log file on client, the<br>
> server - also the /var/spool/audit/remote.log on the client.<br>
> On the server side /var/spool/audit/remote.log is empty (I am not sure if<br>
> this is something I should be checking at all)<br>
><br>
> I am clueless as to what is happening. Is there some way to debug this?<br>
<br>
</span>Did you modify auditd.conf to have the format be nolog? If so, its an<br>
explained condition. Nolog means no logging to disk.<br>
<span class=""><br>
> Where are these logs getting lost?<br>
> When change the log_format back to RAW I do see the logs getting created on<br>
> the client.<br>
<br>
</span>For remote logging, you should set the format to enriched. This resolves<br>
things locally so that the aggregating server can make sense of it later. If<br>
you do not want events written to disk on the remote system, set write_logs =<br>
no. You should also set name_format = hostname (or something else) in<br>
auditd.conf of the remote systems. This is so you can tell who is creating the<br>
events in the aggregating server.<br>
<br>
On the aggregating server, also set the format to enriched. But there you have<br>
to have write_logs = yes. Also set name_format = hostname in auditd.conf of<br>
the server.<br>
<br>
I would not recommend setting the name in audispd.conf for any system.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
> I did my best reading on net and debugging this - but no success. Please<br>
> help.<br>
><br>
> On Wed, Oct 4, 2017 at 1:52 AM, Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> wrote:<br>
> > On Tuesday, October 3, 2017 4:00:27 PM EDT Rituraj Buddhisagar wrote:<br>
> > > Steve,<br>
> > ><br>
> > > Here is the relevant discussion on disabling the tcp listener on Ubuntu.<br>
> > > <a href="https://www.redhat.com/archives/linux-audit/2012-September/msg00027.html" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>archives/linux-audit/2012-<wbr>September/msg00027.html</a><br>
> > ><br>
> > > I do not know what exactly caused change - but now I think it should be<br>
> > > enabled in distributions.<br>
> > ><br>
> > > Please let me know.<br>
> > ><br>
> > > Btw, I got auditd running (by setting LD_LIBRARY_PATH variable) from<br>
> ><br>
> > source<br>
> ><br>
> > > now. Still audispd is not started now - what is the way / sequence to<br>
> ><br>
> > start<br>
> ><br>
> > > auditd and audispd - if you can point me to some reference or a startup<br>
> > > script will help.<br>
> ><br>
> > Since you installed in a non-standard location, you probably need to<br>
> > adjust<br>
> > paths in the config files.<br>
> ><br>
> > What I would recommend is not to build and install by hand, but to use<br>
> > their<br>
> > package manager to build a new package with listening enabled. The<br>
> > ./configure<br>
> > script takes a --disable-listener parameter. So, its probably as simple as<br>
> > deleting that in the source package and rebuilding.<br>
> ><br>
> > That said, I have no idea how to build a package on Debian or Ubuntu.<br>
> ><br>
> > -Steve<br>
<br>
<br>
</div></div></blockquote></div><br></div></div>