我有几台 18.04 服务器,它们最初是 14.04 机器。大多数(有趣的是,并非所有)的journalctl
日志都充满了“审计”消息。auditd
未安装。有一个libaudit1
和libaudit-common
安装了,但我的 Google 搜索没有找到任何线索。
它们是从哪里来的,我该如何摆脱它们(它们数量太多,木头基本上都被堵塞了)?
编辑:
例子:
Apr 02 10:11:15 netnagios audit[1676]: SYSCALL arch=c000003e syscall=56 success=yes exit=29962 a0=1200011 a1=0 a2=0 a3=7f4375585a10 items=0 ppid=1675 pid=1676 auid=1003 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=1 comm="bash" exe="/bin/bash" key=(null)
Apr 02 10:11:15 netnagios audit: PROCTITLE proctitle="/bin/bash"
Apr 02 10:11:15 netnagios audit[29962]: SYSCALL arch=c000003e syscall=59 success=yes exit=0 a0=55c66d887060 a1=55c66db57340 a2=55c66db7b200 a3=8 items=2 ppid=1676 pid=29962 auid=1003 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=1 comm="journalctl" exe="/bin/journalctl" key=(null)
Apr 02 10:11:15 netnagios audit: EXECVE argc=2 a0="journalctl" a1="-xe"
Apr 02 10:11:15 netnagios audit: CWD cwd="/usr/local/nagios"
Apr 02 10:11:15 netnagios audit: PATH item=0 name="/bin/journalctl" inode=201760 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
答案1
auditd
本身就变成了可选的,journald
提供相同的功能。
答案2
尝试用您在输出中找到的进程 ID 之一systemctl status <nnn>
进行替换nnn
(示例中为 1676 或 29962)。这将揭示正在记录的程序所属的服务,并可能有助于找到要更改的配置文件。