我最近尝试使用 auditd 查找在 CentOS 5 x64 操作系统上创建 tmp 文件的内容。我删除了以下规则:
# auditctl -l
No rules
但 auditd 日志中有很多内容。如果我使用 ssh 检查日志:
# watch ls -la /var/log/audit/
auditd 写入速度为 2kb/s。如果我使用 samba 检查它 - 它每秒旋转 5MB 日志文件。如果我通过 ssh 检查它并使用 samba 打开目录 - 每次我打开目录时它都会写入 1 MB。我将其与我的 CentOS 6 服务器进行比较,当我通过 ssh 检查它们时,它不会写入日志。它仅在我通过 ssh 登录/注销时写入。
我没有改变配置。
更新:服务器重启后,auditd 不再写入那么多数据。它仍然会写入一些内容,但不会泛滥。以下是它现在写入的内容:
type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
而且没有规则 - auditctl -l 什么都没显示。除了规则之外,还有其他可能导致 auditd 写入日志的东西吗?
答案1
您是否重新启动了 auditd 服务?/etc/init.d/auditd restart 或 service auditd restart
/var/log/audit/audit.log 文件中创建了哪些事件?