journalctl 中充满了“审计”消息,但没有 auditd

journalctl 中充满了“审计”消息,但没有 auditd

我有几台 18.04 服务器,它们最初是 14.04 机器。大多数(有趣的是,并非所有)的journalctl日志都充满了“审计”消息。auditd未安装。有一个libaudit1libaudit-common安装了,但我的 Google 搜索没有找到任何线索。

它们是从哪里来的,我该如何摆脱它们(它们数量太多,木头基本上都被堵塞了)?

编辑:

例子:

Apr 02 10:11:15 netnagios audit[1676]: SYSCALL arch=c000003e syscall=56 success=yes exit=29962 a0=1200011 a1=0 a2=0 a3=7f4375585a10 items=0 ppid=1675 pid=1676 auid=1003 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=1 comm="bash" exe="/bin/bash" key=(null)                                    
Apr 02 10:11:15 netnagios audit: PROCTITLE proctitle="/bin/bash"                                        
Apr 02 10:11:15 netnagios audit[29962]: SYSCALL arch=c000003e syscall=59 success=yes exit=0 a0=55c66d887060 a1=55c66db57340 a2=55c66db7b200 a3=8 items=2 ppid=1676 pid=29962 auid=1003 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=1 comm="journalctl" exe="/bin/journalctl" key=(null)          
Apr 02 10:11:15 netnagios audit: EXECVE argc=2 a0="journalctl" a1="-xe"                                 
Apr 02 10:11:15 netnagios audit: CWD cwd="/usr/local/nagios"                                            
Apr 02 10:11:15 netnagios audit: PATH item=0 name="/bin/journalctl" inode=201760 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0                                                                                                      

答案1

auditd本身就变成了可选的,journald提供相同的功能。

答案2

尝试用您在输出中找到的进程 ID 之一systemctl status <nnn>进行替换nnn(示例中为 1676 或 29962)。这将揭示正在记录的程序所属的服务,并可能有助于找到要更改的配置文件。

相关内容