审核服务不包括将审核记录直接发送到集中式服务器进行管理的功能。
它确实包含一个用于审计事件多路复用器的插件，以将审计记录传递到远程syslog服务器。

测试环境设置

我们的测试环境中有两台服务器：

• server1.igi.local-发送审核消息的RHEL 7服务器。
• server2.igi.local-接收审核消息的RHEL 7服务器。

配置发送服务器

配置auditd以在审核日志文件中包括其他信息以及主机名。

打开“ /etc/audit/auditd.conf”进行编辑，然后配置以下行：

log_format = ENRICHED
name_format = HOSTNAME

启用远程日志记录。
安装“ audispd-plugins”软件包：

# yum -y install audispd-plugins

打开'/etc/audisp/plugins.d/au-remote.conf'进行编辑，并将active选项的值设置为yes：

active = yes

打开“ /etc/audisp/audisp-remote.conf”进行编辑，并设置远程日志记录服务器的配置：

remote_server = server2.igi.local
port = 60

重新启动审核的服务：

# service auditd restart

配置接收服务器

打开“ /etc/audit/auditd.conf”进行编辑，并将auditd服务配置为侦听TCP端口60：

tcp_listen_port = 60

打开TCP端口60以启用对服务器的访问：

# firewall-cmd --permanent --add-port=60/tcp
# firewall-cmd --reload

注销并重新登录到服务器1.
检查server2上的日志文件：

# grep server1 /var/log/audit/audit.log
node=server1.igi.local type=CRED_REFR msg=audit(1561294797.930:227): pid=2236 uid=0 auid=0 ses=4 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/sbin/sshd" hostname=10.11.1.10 addr=10.11.1.10 terminal=ssh res=success' UID="root" AUID="root"