audit(d)のログは下記のように出力されます。
# cat /var/log/audit/audit.log
...
type=USER_LOGIN msg=audit(1356650120.217:43527): user pid=23041 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'
このログをsyslogにも出力するようにするには次のように設定します。
(activeをnoからyesに変更)
# cat /etc/audisp/plugins.d/syslog.conf
...
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
(r)syslogを再起動すると上記の設定が反映されます。
# /etc/init.d/auditd restart
auditd を停止中: [ OK ]
auditd を起動中: [ OK ]
設定が反映すると、上述したログがsyslogとして下記のように出力されます。
# cat /var/log/messages
...
Dec 28 08:00:19 ip-10-0-0-87 audispd: node=ip-10-0-0-87 type=USER_LOGIN msg=audit(1356649219.815:43407): user pid=22805 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct=28756E6B6E6F776E207573657229 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed'
後はFluentdでWeb Storage Archiveパターンの記事のようにFluentdでS3に送ってGlacierでアーカイブして、
各種ログ → rsyslog → fluentd → S3 → Glacierのパターンに持ち込めると楽になります。
