Amazon ec2 AWS EC2 RHEL 7 auditd服务正在运行,但无法连接到远程服务器

Amazon ec2 AWS EC2 RHEL 7 auditd服务正在运行,但无法连接到远程服务器,amazon-ec2,rhel7,Amazon Ec2,Rhel7,我有3个RHEL-7 EC2实例。所有人都可以使用专用IP相互连接。一个客户端和服务器位于同一子网,另一个客户端来自不同的VPC,但可以通过VPC对等连接其他两个实例。rsyslog正在服务器上运行,客户端通过端口514向服务器实例发送日志(/var/log/messages和/var/log/secure)。为了简单起见,防火墙D/iptables被停止,selinux被允许/禁用 我已经在客户端上配置了auditd,该服务处于活动状态(正在运行),但未将审核日志传输到服务器。以下是客户端“s

我有3个RHEL-7 EC2实例。所有人都可以使用专用IP相互连接。一个客户端和服务器位于同一子网,另一个客户端来自不同的VPC,但可以通过VPC对等连接其他两个实例。rsyslog正在服务器上运行,客户端通过端口514向服务器实例发送日志(/var/log/messages和/var/log/secure)。为了简单起见,防火墙D/iptables被停止,selinux被允许/禁用

我已经在客户端上配置了auditd,该服务处于活动状态(正在运行),但未将审核日志传输到服务器。以下是客户端“systemctl status Audited”的详细信息:

[root@ip-10-0-3-159~]#系统控制状态审核 ● auditd.service-安全审核服务 已加载:已加载(/usr/lib/systemd/system/auditd.service;已启用;供应商预设:已启用) 有效:自2018年7月11日星期三19:42:48 UTC起有效(运行);三十八年前 文件编号:man:auditd(8) 进程:386 ExecStartPost=/sbin/augenrules--load(代码=退出,状态=0/成功) 进程:375 ExecStart=/sbin/auditd(代码=退出,状态=0/成功) 主PID:376(已审核) CGroup:/system.slice/auditd.service ├─376/sbin/auditd └─378/sbin/audispd

7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:plugin/sbin/audisp remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.内部Audip remote[436]:连接到10.0.1.238时出错:无法访问网络 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:插件/sbin/audisp远程意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:plugin/sbin/audisp remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.内部Audip remote[451]:连接到10.0.1.238时出错:无法访问网络 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:插件/sbin/audisp远程意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:plugin/sbin/audisp remote已重新启动 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:插件/sbin/audisp远程意外终止 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:plugin/sbin/audisp remote已超过最大重启时间 7月11日19:42:48 ip-10-0-3-159.ec2.internal audispd[378]:plugin/sbin/audisp remote已重新启动

我在/etc/audisp/audisp-remote.conf中尝试了公共ip和私有ip(作为远程_服务器),我可以从客户端远程登录到远程服务器的端口60,安全组没有问题,最重要的是相同的配置在VM环境中成功运行

以下是服务器的“netstat-tulpen”: [root@ip-10-0-1-238 ~]#netstat-tulpen 活动Internet连接(仅限服务器) Proto Recv-Q Send-Q本地地址外部地址状态用户索引节点PID/程序名 tcp 0.0.0.0:514 0.0.0.0:*收听0 18570 1077/rsyslogd tcp 0.0.0.0:22 0.0.0.0:*收听0 18464 1070/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:*侦听0 17663 1032/master tcp6 0:0::60::收听0 14041 401/auditd* tcp6 0 0:::514::*听一听0 18571 1077/rsyslogd tcp6 0 0:::80::*收听0 17023 759/httpd tcp6 0:::22:::*收听0 18466 1070/sshd tcp6 0:1:25::*听一听0 17664 1032/master udp 0 0 127.0.0.1:323 0.0.0.0:*0 14741 478/chronyd udp 0.0.0.0:68 0.0.0.0:*0 16016 549/dhclient udp6 0:1:323::*0 14742 478/chronyd

另一个混淆是所有服务都在tcp和tcp6上运行,但auditd仅在tcp6上运行。这是否值得关注?
在VM环境中,tcp和tc6行都用于auditd。

对于这个大问题,非常小的修正。 网络可能有问题。我禁用了auditd(systemctl禁用auditd)。实例启动后,手动启动auditd服务(systemctl start auditd)。这是一个快速解决方案。但我不知道根本原因