เราได้ตั้งค่าการบันทึกข้อความ auditd แบบรวมศูนย์สำหรับสองเครื่อง:
สิ่งนี้ทำด้วยวิธีมาตรฐานโดยใช้ปลั๊กอิน auditd+audisp ที่ส่งไปยังเซิร์ฟเวอร์ auditd ที่รับฟังพอร์ต 60 เช่น ตามที่อธิบายไว้ที่นี่:
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
แต่เมื่อฉันสังเกตบันทึกการตรวจสอบบนเซิร์ฟเวอร์บันทึกส่วนกลางหลังจากรีสตาร์ทไคลเอนต์ auditd บนต้นทาง สิ่งเดียวที่ปรากฏขึ้นคือบรรทัด
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success
โดยที่ ::ffff:x.y.z.152 เห็นได้ชัดว่าเกิดจากแพ็กเก็ตบางส่วนจากที่อยู่ IP x.y.x.152 (ที่อยู่ของ www22.domain.com) ดังนั้นการเชื่อมต่อ TCP ระหว่างไคลเอนต์เซิร์ฟเวอร์จึงถูกสร้างขึ้น และดูเหมือนว่าการบันทึกข้อความเพิ่มเติมควรใช้งานได้
แต่บรรทัดใหม่เดียวที่เคยปรากฏในล็อกไฟล์คือบรรทัดที่มาจาก cls.domain.com ไม่มีการตรวจสอบข้อความจาก www22.domain.com
ฉันได้ตรวจสอบว่าจะเกิดอะไรขึ้นหาก auditd www22.domain.com ถูกตั้งค่าให้เขียนไปยังไฟล์บันทึกการตรวจสอบในเครื่องด้วย จากนั้นไฟล์ในเครื่องจะได้รับข้อความจำนวนมากจากการตรวจสอบ แต่ก็ยังไม่มีอะไรส่งผ่านเครือข่าย
จะแน่ใจได้อย่างไรว่าไคลเอนต์ auditd ส่งข้อความเดียวกันผ่านเครือข่าย
ปรากฎว่าลูกค้ามีการตั้งค่า
รูปแบบ = ascii
ในไฟล์ audisp-remote.conf ฉันเปลี่ยนสิ่งนี้เป็น
รูปแบบ = จัดการ
หลังจากที่ฉันรีสตาร์ทไคลเอนต์ auditd บันทึกก็เริ่มถูกส่งและรับบนเซิร์ฟเวอร์บันทึกส่วนกลาง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
