Question

RHEL 7.2服务器上运行的一个进程（进程名称：billsrv）在接收到kill -9命令后随机终止。我使用审核日志来确定谁发送了kill -9命令：首先，我手动将其杀死。在审核文件中，我得到以下信息：

*Nov 26 19:09:05 coscms1 audispd: node=coscms1 type=SYSCALL msg=audit(1543252145.658:639488): 
arch=c000003e syscall=62 success=yes exit=0 a0=2b88 a1=12 a2=2b88 a3=2b88 items=0 
ppid=16150 pid=16151 auid=400 uid=400 gid=400 euid=400 suid=400 fsuid=400 egid=400 sgid=400 fsgid=400 tty=pts4 
ses=89169 comm="ksh" exe="/usr/bin/ksh93" key="kill_signals"*

然后一段时间后billsrv进程终止，我在审计文件中得到了以下内容：

Nov 26 20:10:28 coscms1 audispd: node=coscms1 type=SYSCALL msg=audit(1543255828.282:642321): 
arch=c000003e syscall=62 success=yes exit=0 a0=5ceb a1=9 a2=5ceb a3=7f3e8dd23cf0 items=0 
ppid=29836 pid=23796 auid=400 uid=400 gid=400 euid=400 suid=400 fsuid=400 egid=400 sgid=400 fsgid=400 tty=(none) 
ses=89169 comm="billsrv" exe="/users/cms/bin/billsrv" key="kill_signals"

以上是否意味着该进程会自行终止？（!!!）

Answer 1

我的进程正在从oracle 12客户端接收终止信号（！） https://community.oracle.com/thread/3567492 我们在客户端级别禁用了“诊断框架”，一切看起来都很好。

奇怪的审核日志条目

1 个答案: