我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文:
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"
以下是相关配置:
log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = incremental
freq = 20
num_logs = 3
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = none
name = lga-tag06
max_log_file = 1024
max_log_file_action = rotate
space_left = 75
space_left_action = syslog
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = suspend
disk_full_action = suspend
disk_error_action = suspend
tcp_listen_queue = 5
tcp_max_per_addr = 1
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
以及相关规则:
# Default Rule - Delete ALL
-D
enter code here
# Set Buffer size - increase for Busy Systems
-b 8192
enter code here
# Puppet Managed Custom rules begin here:
-b 320
-D
-a exclude,never -F msgtype=PATH
-a exclude,never -F msgtype=BPRM_FCAPS
-a exclude,never -F msgtype=CRED_DISP
-a exit,always -F arch=b32 -F euid>=0 -S execve
-a exit,always -F arch=b64 -F euid>=0 -S execve
如果有人以前见过这个或者有任何建议,我很好奇吗?
答案 0 :(得分:0)
我不能肯定地说,但是直到您将我在评论中要求的信息添加到您的问题中为止,我将继续进行以下操作:
注意/更新:这扩展到赏金。虽然评论 关于额外行的信息不适用,其余问题 关于发行版和版本。
您可能遇到了red hat's tracker和systemd github中报告的 bug ,这表明 auditd 和 systemd的日志。
建议的解决方案是禁用日记帐的审核支持:
systemctl mask systemd-journald-audit.socket
在尝试之前,请阅读上面的链接问题,并考虑所有必要的注意事项。