linux – Auditd在audit.log中显示重复的行
发布时间:2020-12-13 23:20:53 所属栏目:Linux 来源:网络整理
导读:我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文: type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash" 这是相关的配置: log_file = /var/log/audit
|
我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文:
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash" type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash" 这是相关的配置: log_file = /var/log/audit/audit.log log_format = RAW log_group = root priority_boost = 4 flush = incremental freq = 20 num_logs = 3 disp_qos = lossy dispatcher = /sbin/audispd name_format = none name = lga-tag06 max_log_file = 1024 max_log_file_action = rotate space_left = 75 space_left_action = syslog action_mail_acct = root admin_space_left = 50 admin_space_left_action = suspend disk_full_action = suspend disk_error_action = suspend tcp_listen_queue = 5 tcp_max_per_addr = 1 tcp_client_max_idle = 0 enable_krb5 = no krb5_principal = auditd 和相关规则: # Default Rule - Delete ALL -D enter code here # Set Buffer size - increase for Busy Systems -b 8192 enter code here # Puppet Managed Custom rules begin here: -b 320 -D -a exclude,never -F msgtype=PATH -a exclude,never -F msgtype=BPRM_FCAPS -a exclude,never -F msgtype=CRED_DISP -a exit,always -F arch=b32 -F euid>=0 -S execve -a exit,always -F arch=b64 -F euid>=0 -S execve 好奇,如果有人之前见过这个或有任何建议吗? 解决方法
我不能肯定地说,但在您将评论中所要求的信息添加到您的问题之前,我将使用以下内容:
您可能会遇到red hat’s tracker和systemd github中报告的错误,该错误表明auditd和systemd的journald之间存在问题. 建议的解决方案是禁用期刊的审计支持: systemctl mask systemd-journald-audit.socket 在尝试之前,请阅读上面的链接问题并采取所有必要的考虑因素. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容