我收到与 /var/log/syslog 中的审计守护进程相关的错误
Feb 6 23:57:02 svc auditd[3897]: Error setting audit daemon pid (Invalid argument)
Feb 6 23:57:02 svc kernel: [ 7546.027420] audit: type=1131 audit(1517986622.815:653): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=auditd comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
Feb 6 23:57:13 svc auditd[6145]: Started dispatcher: /sbin/audispd pid: 6148
Feb 6 23:57:13 svc auditd[6145]: Init complete, auditd 2.7.7 listening for events (startup state enable)
Feb 6 23:57:13 svc auditd[6145]: dispatcher 6148 reaped
root@svc:/var/log#
从 17.04 更新到 17.10 后开始出现这种情况。当我通过 ps aux | grep audit 检查时,/sbin/auditd 似乎以 root 身份运行...
root 39 0.0 0.0 0 0 ? S 21:51 0:00 [kauditd]
root 3897 0.0 0.0 101668 1940 ? S<sl 23:53 0:00 /sbin/auditd
root 4398 0.0 0.0 14352 972 pts/0 S+ 23:54 0:00 grep --color=auto audit
它的权限是 root 在 /var/run
-rw-r--r-- 1 root root 5 Feb 6 23:53 auditd.pid
不确定还要检查什么。内核是 4.13.0-16-generic。
编辑:它不允许我将其标记为 17.10,因为我的声誉不够。