<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html><head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

    <meta name="generator" content="Osso Notes">

    <title></title></head>

<body>

<p>hi,

<br>

<br>first try to diagnose if audit messages actually make it to the local syslog-ng process (by logging them locally, or using the debug switch for syslog-ng)

<br>

if they do, then work on what happens with these between syslog-ng &amp; rsyslog, and then between rsyslog and octopussy.

<br>

<br>----- Original message -----

<br>&gt; Hello ,

<br>&gt; 

<br>&gt; Thank you for your comment but i have tried the same way also but it

&gt; seems the receiving server is not accepting the connection ...

<br>&gt; 

<br>&gt; I have no idea how to configure the Octopussy server configured for

<br>&gt; Rsyslog ... Any one have idea or configured the rsyslog for Octopussy

&gt; then please help.

<br>&gt; 

<br>&gt; Below i am pasting the rsyslog server side configuration, and i have

<br>&gt; enabled the "active=yes" on client Auditd configuration ... kindly look

&gt; into it once.

<br>&gt; 

<br>&gt; 

<br>&gt; [<a href="mailto:root@octopussy">root@octopussy</a> ~]# cat /etc/rsyslog.conf

<br>&gt; #################

<br>&gt; #### MODULES ####

<br>&gt; #################

<br>&gt; 

<br>&gt; $ModLoad imuxsock # provides support for local system logging

<br>&gt; $ModLoad imklog&nbsp; &nbsp; &#32;# provides kernel logging support (previously done by

<br>&gt; rklogd)

<br>&gt; #$ModLoad immark&nbsp; &#32;# provides --MARK-- message capability

<br>&gt; 

<br>&gt; # provides UDP syslog reception

<br>&gt; $ModLoad imudp

<br>&gt; $UDPServerRun 514

<br>&gt; 

<br>&gt; # provides TCP syslog reception

<br>&gt; $ModLoad imtcp

<br>&gt; $InputTCPServerRun 514

<br>&gt; 

<br>&gt; 

<br>&gt; ###########################

<br>&gt; #### GLOBAL DIRECTIVES ####

<br>&gt; ###########################

<br>&gt; 

<br>&gt; #

<br>&gt; # Use traditional timestamp format.

&gt; # To enable high precision timestamps, comment out the following line.

<br>&gt; #

<br>&gt; #$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

<br>&gt; 

<br>&gt; #

&gt; # Set the default permissions for all log files.

<br>&gt; #

<br>&gt; $FileOwner root

<br>&gt; $FileGroup adm

<br>&gt; $FileCreateMode 0640

<br>&gt; $DirCreateMode 0755

<br>&gt; 

<br>&gt; #

<br>&gt; # Include all config files in /etc/rsyslog.d/

<br>&gt; #

<br>&gt; $IncludeConfig /etc/rsyslog.d/*.conf

<br>&gt; [<a href="mailto:root@octopussy">root@octopussy</a> ~]# cat /etc/rsyslog.d/10-octopussy.conf

<br>&gt; #########################################

<br>&gt; #### GLOBAL DIRECTIVES FOR OCTOPUSSY ####

<br>&gt; #########################################

<br>&gt; 

<br>&gt; $FileOwner root

<br>&gt; $FileGroup adm

<br>&gt; $FileCreateMode 0640

<br>&gt; $DirCreateMode 0750

<br>&gt; $Umask 0022

<br>&gt; $WorkDirectory /var/lib/octopussy/local/rsyslog

<br>&gt; $CreateDirs on

<br>&gt; 

<br>&gt; $MaxMessageSize 8k

<br>&gt; 

<br>&gt; $ActionQueueMaxDiskSpace 1g

<br>&gt; $ActionQueueFileName rsyslog

<br>&gt; $ActionQueueHighWaterMark 250000

<br>&gt; $ActionQueueLowWaterMark 200000

<br>&gt; $ActionQueueType LinkedList # [FixedArray/LinkedList/Direct/Disk]

<br>&gt; $ActionQueueSaveOnShutdown on

<br>&gt; $ActionQueueWorkerThreads 1 # 1 cpu

<br>&gt; 

<br>&gt; *.* |/var/spool/octopussy/octo_fifo

<br>&gt; 

<br>&gt; 

<br>&gt; ###############

<br>&gt; #### RULES ####

<br>&gt; ###############

<br>&gt; 

<br>&gt; # Remove all messages from other server

<br>&gt; :hostname, !isequal, "octopussy" ~

<br>&gt; 

<br>&gt; ++++++++++++++++++++++++++++++++++++++++++

<br>&gt; 

<br>&gt; 

<br>&gt; On Tue, Aug 7, 2012 at 12:58 PM, Vámos Balázs

<br>&gt; &lt;<a href="mailto:vamos.balazs@zuriel.hu">vamos.balazs@zuriel.hu</a>&gt;wrote:

<br>&gt; 

<br>&gt; &gt; Hi,

<br>&gt; &gt; 

<br>&gt; &gt; Details:

<br>&gt; &gt; 

<br>&gt; &gt; Open /etc/audisp/plugins.d/syslog.conf

<br>&gt; &gt; Set active = yes

<br>&gt; &gt; restart auditd

<br>&gt; &gt; 

<br>&gt; &gt; With this configuration you do not need to use syslog-ng to read and

&gt; &gt; send content of audit.log. Just forward the syslog as you usually do.

<br>&gt; &gt; 

<br>&gt; &gt; 

<br>&gt; &gt; Notice that the format of the syslog message will be a bit different:

<br>&gt; &gt; 

<br>&gt; &gt; Aug&nbsp; &#32;7 09:00:54 znb06 audispd: node=znb06 type=CWD

<br>&gt; &gt; msg=audit(1344322854.313:1056):&nbsp; &#32;cwd="/"

<br>&gt; &gt; vs.

<br>&gt; &gt; Aug&nbsp; &#32;7 09:00:54 znb06 your-tag: type=CWD

<br>&gt; &gt; msg=audit(1344322854.313:1056):&nbsp; &#32;cwd="/"

<br>&gt; &gt; 

<br>&gt; &gt; 

<br>&gt; &gt; Regards,

<br>&gt; &gt; 

<br>&gt; &gt; Balazs Vamos

<br>&gt; &gt; LOGalyze.com

<br>&gt; &gt; 

<br>&gt; &gt; 

<br>&gt; &gt; On 08/07/2012 07:35 AM, Balazs Scheidler wrote:

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; Hi,

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; you probably need to tell auditd to log to syslog on the client

<br>&gt; &gt; &gt; hosts.

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; ----- Original message -----

<br>&gt; &gt; &gt; &gt; Hi Folks,

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; Need your help !

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; Want to configure a centralized Audit server (Currently the

<br>&gt; &gt; &gt; &gt; centralized server is running Octopussy Web interface,&nbsp; &#32;which

<br>&gt; &gt; &gt; &gt; receives logs from remote hosts by Rsyslog ).

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; The challenge and confusion here is .. all my linux clients are

<br>&gt; &gt; &gt; &gt; configured with syslog-ng and the daemon is sending all the system

<br>&gt; &gt; &gt; &gt; logs and kernel logs like messages,secure,cron logs etc ... with

<br>&gt; &gt; &gt; &gt; out any trouble.

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; The problem is the syslog-ng daemon is not able to send the auidtd

<br>&gt; &gt; &gt; &gt; logs (/var/log/audit.log) to the Rsyslog server,

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; Hence request your help to guide me how to setup the syslog-ng to

<br>&gt; &gt; &gt; forward

<br>&gt; &gt; &gt; &gt; the audit.log to the remote Rsyslog server.

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; It would be great if i can get client side and server side

<br>&gt; &gt; &gt; configuration

<br>&gt; &gt; &gt; &gt; guidelines.

<br>&gt; &gt; &gt; &gt; 

<br>&gt; &gt; &gt; &gt; --

<br>&gt; &gt; &gt; &gt; Thanks in Advance

<br>&gt; &gt; &gt; &gt; - Koresh

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; 

<br>&gt; &gt; &gt; 

<br>&gt; &gt; ______________________________________________________________________________

<br>&gt; &gt; &gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a>

<br>&gt; &gt; &gt; Documentation:

<br>&gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a>

<br>&gt; &gt; &gt; FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a>

<br>&gt; &gt; &gt; 

<br>&gt; &gt; 

<br>&gt; &gt; 

<br>&gt; &gt; ______________________________________________________________________________

<br>&gt; &gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a>

<br>&gt; &gt; Documentation:

<br>&gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a>

<br>&gt; &gt; FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a>

<br>&gt; &gt; 

<br>&gt; &gt; 

<br>&gt; 

<br>&gt; 

<br>&gt; -- 

<br>&gt; 

<br>&gt; 

<br>&gt; Thanks &amp; Regards,

<br>&gt; 

<br>&gt; - Koresh

<br><br></p>

</body>

</html>