Auditd 正在向日志中写入大量内容

Auditd 正在向日志中写入大量内容

我最近尝试使用 auditd 查找在 CentOS 5 x64 操作系统上创建 tmp 文件的内容。我删除了以下规则:

# auditctl -l
No rules

但 auditd 日志中有很多内容。如果我使用 ssh 检查日志:

# watch ls -la /var/log/audit/

auditd 写入速度为 2kb/s。如果我使用 samba 检查它 - 它每秒旋转 5MB 日志文件。如果我通过 ssh 检查它并使用 samba 打开目录 - 每次我打开目录时它都会写入 1 MB。我将其与我的 CentOS 6 服务器进行比较,当我通过 ssh 检查它们时,它不会写入日志。它仅在我通过 ssh 登录/注销时写入。

我没有改变配置。

更新:服务器重启后,auditd 不再写入那么多数据。它仍然会写入一些内容,但不会泛滥。以下是它现在写入的内容:

type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

而且没有规则 - auditctl -l 什么都没显示。除了规则之外,还有其他可能导致 auditd 写入日志的东西吗?

答案1

您是否重新启动了 auditd 服务?/etc/init.d/auditd restart 或 service auditd restart

/var/log/audit/audit.log 文件中创建了哪些事件?

相关内容