Я пытаюсь передавать лог аудита с машины ws.example.ru на машину 192.168.1.1 с помощью плагина audisp-remote. На обеих машинах openSUSE 12.3. Но через несколько минут после старта аудита в /var/log/messages появляется запись
audisp-remote: read from 192.168.1.1 failed
См. также распечатку статуса ниже. После этого лог аудита не передаётся. В чём может быть дело и как от этой ошибки избавиться? Поиск в гугле ничего не дал.
ws:~ # systemctl status auditd.service auditd.service - Security Auditing Service � Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled) � Active: active (running) since Thu, 2013-08-29 11:06:17 MSK; 6min ago � Process: 4772 ExecStartPost=/sbin/auditctl -R /etc/audit/audit.rules (code=exited, status=0/SUCCESS) � Main PID: 4771 (auditd) � CGroup: name=systemd:/system/auditd.service � ├ 4771 /sbin/auditd -n � ├ 4774 /sbin/audispd � └ 4775 /usr/sbin/audisp-remote
Aug 29 11:06:17 ws.example.ru audispd[4774]: max_restarts_parser called with: 10 Aug 29 11:06:17 ws.example.ru audispd[4774]: audispd initialized with q_depth=120 and 1 active plugins Aug 29 11:06:17 ws.example.ru audisp-remote[4775]: Connected to 192.168.1.1 Aug 29 11:06:17 ws.example.ru audisp-remote[4775]: Audisp-remote started with queue_size: 0 Aug 29 11:06:17 ws.example.ru auditd[4771]: Init complete, auditd 2.2.2 listening for events (startu...ble) Aug 29 11:06:17 ws.example.ru auditctl[4772]: No rules Aug 29 11:06:17 ws.example.ru auditctl[4772]: AUDIT_STATUS: enabled=1 flag=1 pid=4771 rate_limit=0 b...og=0 Aug 29 11:06:17 ws.example.ru auditctl[4772]: AUDIT_STATUS: enabled=1 flag=1 pid=4771 rate_limit=0 b...og=1 Aug 29 11:06:17 ws.example.ru systemd[1]: Started Security Auditing Service. Aug 29 11:10:34 ws.example.ru audisp-remote[4775]: read from 192.168.1.1 failed
