Я настроил auditd на двух серверах RHEL с необходимыми правилами. Журналы аудита соответствуют ожиданиям. Я хочу переслать эти журналы на центральный сервер, чтобы анализ был легким.Я пробовал два подхода, упомянутых в этой ссылке Отправка журналов auditd на удаленный сервер журналов в Red Hat Enterprise
Проблема с подходом 1 (отправка на удаленный сервер auditd): журналы от всех клиентов добавляются в один файл. Я не могу получить отдельные отчеты для каждого клиента.
Проблема с подходом 2 (отправка на удаленный сервер системного журнала): журналы на стороне сервера содержат лишние слова в начале строки. Они добавляются в фактический журнал аудита от клиента
" 12 января 16:38:22 MahineName audispd: node = MahineName « type = USER_TTY msg = audit (1484257088.191: 1486822)
Срок выполнения для этого aureport не может анализировать эти журналы и показывать нулевые события.
Пожалуйста, предложите правильный подход для сбора всех журналов аудита отдельно от всех клиентов и запуска aureport на этих
ОС: RHEL 6