CentOS 7 によるセッション記録(Tlog)ログのElasticsearchへの転送

CentOS 8の新機能 Cookpit の Session Recordingは、ユーザが端末に対し行った操作(入出力)をログに記録し、後で再生して見られる機能であり、その元となっているプログラムがTLogです。

cockpit

GitHub – Scribery/tlog: Terminal I/O logger
Package tlog – man pages | ManKier

ユーザが行った操作は、tlog-rec あるいは、tlog-rec-session によってJournalログ(syslog)に記録され、それを再生するコマンド、tlog-play が用意されています。Journal に記録してもログローテーションによりいずれは消えてしまいます。監査証跡としてこの操作記録ログ(Tlogログ)を永続的に残す方法として、ログの保存先をMongoDBなど、JSON形式で保存できるストアなどがありますが、tlog-playがその再生元データストアをElasticsearchにできることから、TlogログをRsyslog経由でElasticsearchに転送する方法があります。

今回は、それらをCentOS 7にて実装したいと思います。

“CentOS 7 によるセッション記録(Tlog)ログのElasticsearchへの転送” 続きを読む