Phương pháp an toàn và chính xác nhất là sử dụng plugin syslog audispd và / hoặc audisp-remote .
Để nhanh chóng làm cho nó hoạt động, bạn có thể chỉnh sửa /etc/audisp/plugins.d/syslog.conf . RHEL bao gồm điều này theo mặc định, mặc dù nó bị vô hiệu hóa. Bạn chỉ cần thay đổi một dòng để kích hoạt nó, kích hoạt = có .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
Nhưng điều này không an toàn theo mặc định; syslog là một giao thức không an toàn tại cơ sở của nó, không được mã hóa, không được xác thực và trong đặc tả UDP ban đầu của nó, hoàn toàn không đáng tin cậy. Nó cũng lưu trữ rất nhiều thông tin trong các tập tin không an toàn. Hệ thống Kiểm toán Linux xử lý nhiều thông tin nhạy cảm hơn thường được gửi tới syslog, do đó nó bị tách ra. audisp-remote cũng cung cấp xác thực và mã hóa Kerberos, vì vậy nó hoạt động tốt như một phương tiện vận chuyển an toàn. Sử dụng audisp-remote, bạn sẽ gửi tin nhắn kiểm toán bằng audispd đến một máy chủ từ xa audispd chạy trên máy chủ syslog trung tâm của bạn. Sau đó, audisp-remote sẽ sử dụng plugin syslog audispd để đưa chúng vào syslog dameon.
Nhưng có những phương pháp khác! rsyslog rất mạnh mẽ! rsyslog cũng cung cấp mã hóa Kerberos, cộng với TLS. Chỉ cần chắc chắn rằng nó được cấu hình an toàn.