您好,我们在应用程序上使用四台 Linux 服务器。应用程序只是使用脚本生成报告...现在三台服务器的审计日志在 /var/log/audit 目录中生成(如下所示),但一台服务器没有生成任何日志。
[root@mhedr5 logs]# ls -ltr /var/log/audit |tail
total 24748
-r--------. 1 root root 6291614 Jun 4 11:45 audit.log.4
-r--------. 1 root root 6291485 Jun 4 20:26 audit.log.3
-r--------. 1 root root 6291563 Jun 5 05:40 audit.log.2
-r--------. 1 root root 6291676 Jun 5 14:52 audit.log.1
-rw-------. 1 root root 138601 Jun 5 15:07 audit.log
我完全不知道这个概念。服务器上是否有任何脚本在运行并创建这些日志?它与任何单独的脚本相关还是系统属性?我该如何解决这个问题?有人可以告诉我或分享任何有用的链接吗?如果您需要更多信息,请告诉我。
System info:
# lsb_release -a (server where logs are generating)
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: RedHatEnterpriseServer
Description: Red Hat Enterprise Linux Server release 6.4 (Santiago)
Release: 6.4
Codename: Santiago
令人惊讶的是,lsb_release -a 对于未生成审计日志的服务器来说并不是一个已知命令...尽管它也是一个 Redhat 服务器。
cat /etc/*-release (server where audit logs are not generating)
Red Hat Enterprise Linux Server release 6.4 (Santiago)
Red Hat Enterprise Linux Server release 6.4 (Santiago)
对于服务器 1:
# chkconfig --list auditd
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
# service auditd status
auditd (pid 4886) is running...
对于服务器2:
# chkconfig --list auditd
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
# service auditd status
auditd (pid 11165) is running...
在服务器2上:
ls -lart /var/log/audit
total 16
drwxr-x---. 2 root root 12288 Feb 19 15:00 .
drwxr-xr-x. 12 root root 4096 Jun 1 03:28 ..
答案1
auditd
是挂接到内核审计子系统并将这些日志传输到文件系统的用户空间守护进程。尽管所有迹象都表明您的系统正在运行,但您发现重新启动它会导致日志开始出现在磁盘上。
到底哪里出了问题?现在谁也说不准。但你可能要从中吸取教训,所有看起来运行不佳的守护进程都可以从一脚踢中受益!