linux – Auditd在audit.log中显示重复的行
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了linux – Auditd在audit.log中显示重复的行,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1679字,纯文字阅读大概需要3分钟。
内容图文
![linux – Auditd在audit.log中显示重复的行](/upload/InfoBanner/zyjiaocheng/963/c27a15729c68474fb3f782de4c54a305.jpg)
我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文:
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"
这是相关的配置:
log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = incremental
freq = 20
num_logs = 3
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = none
name = lga-tag06
max_log_file = 1024
max_log_file_action = rotate
space_left = 75
space_left_action = syslog
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = suspend
disk_full_action = suspend
disk_error_action = suspend
tcp_listen_queue = 5
tcp_max_per_addr = 1
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
和相关规则:
# Default Rule - Delete ALL
-D
enter code here
# Set Buffer size - increase for Busy Systems
-b 8192
enter code here
# Puppet Managed Custom rules begin here:
-b 320
-D
-a exclude,never -F msgtype=PATH
-a exclude,never -F msgtype=BPRM_FCAPS
-a exclude,never -F msgtype=CRED_DISP
-a exit,always -F arch=b32 -F euid>=0 -S execve
-a exit,always -F arch=b64 -F euid>=0 -S execve
好奇,如果有人之前见过这个或有任何建议吗?
解决方法:
我不能肯定地说,但在您将评论中所要求的信息添加到您的问题之前,我将使用以下内容:
Note / Update: This extends to the bounty. Although the comment
regarding the extra lines doesn’t apply, the remaining questions
about distribution and versions do.
您可能会遇到red hat’s tracker和systemd github中报告的错误,该错误表明auditd和systemd的journald之间存在问题.
建议的解决方案是禁用期刊的审计支持:
systemctl mask systemd-journald-audit.socket
在尝试之前,请阅读上面的链接问题并采取所有必要的考虑因素.
内容总结
以上是互联网集市为您收集整理的linux – Auditd在audit.log中显示重复的行全部内容,希望文章能够帮你解决linux – Auditd在audit.log中显示重复的行所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。