使用Audit审计服务排查linux终端异常关机问题

已于 2022-06-23 15:35:23 修改
阅读量2.9k 收藏 8
点赞数 2
分类专栏: Linux 文章标签: linux 运维 服务器
于 2022-03-06 18:42:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EbowTang/article/details/123314726
版权
本文档详述了一起关于Linux终端在教室环境中出现不符合预期的自动关机问题。通过分析syslog日志和部署audit审计服务,定位到问题可能是人为操作,包括电源键误触和虚拟机的不当关闭。解决方案包括禁用电源键,调整用户行为,以及通过审计服务优化系统监控。此外,提供了audit服务的部署脚本和相关配置信息。
摘要由CSDN通过智能技术生成

目录

【基本信息】

【问题描述】

【定位过程】

1,整理规律如下

2,部署audit审计服务定位问题

3,定位后期

【问题原因】

【问题解决】

【问题小结】

附录

1,audit审计服务部署脚本及其安装包

2,配置软绘,软解,禁用power键

3,部署audit服务

4,audit审计日志与规则

我将本案例写成了文档案例,可参见阿里云盘链接下载阅读,凡是提及附件的地方本文均未粘贴,可下载文档来阅读:

「spaceos终端不符合预期关机问题」https://www.aliyundrive.com/s/hetkctd2bbD

点击链接保存,或者复制本段内容,打开「阿里云盘」APP ,无需下载极速在线查看,视频原画倍速播放。

【基本信息】

  1. 瘦终端:C101LS,装载x64 SpaceOS(linux终端)系统(用于连接云桌面)
  2. 版本:Workspace E1009(云桌面客户端版本)
  3. 现场使用H3C Workspace的方式部署教室云桌面,自动登录云桌面,终端锁在教室讲台里,平时仅关闭显示器,终端独立供电,并且不断电。
  4. 客户基本预期就是终端不关机,也不断开云桌面,仅关闭其显示器,第二天上课时仅仅是给显示器上电,并且从授权策略中将关机和重启功能都是禁用了的。

【问题描述】

如上述基本信息,在部署了16间教室后,经过一周表现正常,但是第二周来每天陆续发现linux终端出现9次不符合预期的关机,确定非虚拟机关机。

【定位过程】

实际上,这个问题在出差到达现场之前,就已经定位到是正常的软关机,见下syslog的日志段,依次正确关闭系统服务,并且syslog中并无硬件类的报错记录,包括SpaceAgent和workspace客户端没有执行关机记录。

Jul 11 16:43:50 localhost systemd[1]: Stopped target Timers.

Jul 11 16:43:50 localhost systemd[1]: Closed Load/Save RF Kill Switch Status /dev/rfkill Watch.

Jul 11 16:43:50 localhost systemd[1]: Stopped target Host and Network Name Lookups.

Jul 11 16:43:50 localhost systemd[1]: Stopped Discard unused blocks once a week.

Jul 11 16:43:50 localhost systemd[1]: Stopping Authorization Manager...

Jul 11 16:43:50 localhost systemd[1]: Stopped target Graphical Interface.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily Cleanup of Temporary Directories.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily apt upgrade and clean activities.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily apt download activities.

Jul 11 16:43:50 localhost systemd[1]: Stopped Message of the Day.

Jul 11 16:43:50 localhost systemd[1]: Stopping User Manager for UID 1010...

Jul 11 16:43:50 localhost systemd[1]: Stopping Save/Restore Sound Card State...

Jul 11 16:43:50 localhost systemd[1]: Stopped target Multi-User System.

Jul 11 16:43:50 localhost systemd[1]: Stopping SpaceAgent deamon...

Jul 11 16:43:50 localhost systemd[1]: Stopping Regular background program processing daemon...

Jul 11 16:43:50 localhost systemd[575]: Stopping Virtual filesystem service...

Jul 12 07:56:19 localhost systemd[1]: Starting Flush Journal to Persistent Storage...

Jul 12 07:56:19 localhost systemd[1]: Started Flush Journal to Persistent Storage.

但疑难问题点在于,我们并不清楚关机的触发源,因为客户确定他们不会去关机,也不希望关机,讲台也没有针对终端的关开机按钮(后续事实证明这句话不完全准确)。

1,整理规律如下

  1. 出现的终端并不固定,多个教室均出现,从出现的数量来看(加上到现场发现的总共出现16台),问题概率高
  2. 问题发生的时间并不固定,有的是晚上8点多,有的是下午2-4点之间
  3. 问题时间尽管不固定,但是11号(周末),出现5台不符合预期关机时间点集中的情况,均在下午4点30-5点之间。

2,部署audit审计服务定位问题

在现场部署了audit服务(见附件1)来审计关机触发源,尽管没定位到触发源,但是从客观上证明了和workspace,spaceagent以及管理平台无关。截取部分审计内容如下:

A)键入last -x | shutdown后的审计结果

type=SYSCALL msg=audit(1626146892.715:736)(2021-07-13 11:28:12): arch=c000003e syscall=59 success=yes exit=0 a0=557d4e603050 a1=557d4e5de6a0 a2=557d4e5df9f0 a3=8 items=2 ppid=4776 pid=4785 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="shutdown" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1626146892.715:736): argc=1 a0="shutdown"

type=CWD msg=audit(1626146892.715:736): cwd="/root"

解析:

comm="shutdown" ,命令参数是关机

exe="/bin/systemctl" ,实际执行者是systemctl

key="shutdown_call" ,key是shutdown_call

cwd="/root",执行进程的路径(因为是人为切换到该目录下执行的)

type=EXECVE msg=audit(1626146892.715:736): argc=1 a0="shutdown",执行的命令是shutdown。

故该关机审计是人为在/root目录执行shutdown关机

B)通过ws客户端关机后的审计结果

type=SYSCALL msg=audit(1626058718.076:61): arch=c000003e syscall=59 success=yes exit=0 a0=562fe643d738 a1=562fe6443d88 a2=562fe6445240 a3=0 items=2 ppid=1495 pid=1496 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="shutdown" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1626058718.076:61): argc=3 a0="shutdown" a1="-h" a2="now"

type=CWD msg=audit(1626058718.076:61): cwd="/userdata/H3C/Workspace/E1009"

解析:

comm="shutdown" ,命令参数是shutdown

exe="/bin/systemctl" ,实际执行者是systemctl

key="shutdown_call" ,key是shutdown_call

cwd="/userdata/H3C/Workspace/E1009",执行进程的路径

type=EXECVE msg=audit(1626058718.076:61): argc=3 a0="shutdown" a1="-h" a2="now"

执行的命令是shutdown -h now

故该关机审计是/userdata/H3C/Workspace/E1009下执行了shutdown -h now的关机

C)通过终端关机后的审计结果

#正常关机审计日志开始日志段1:查询服务状态

type=SYSCALL msg=audit(1626053451.193:483): arch=c000003e syscall=59 success=yes exit=0 a0=55d9e0583dd8 a1=55d9e0583d40 a2=55d9e0583d98 a3=1b6 items=2 ppid=4977 pid=4981 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="systemctl" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1626053451.193:483): argc=6 a0="systemctl" a1="-p" a2="LoadState" a3="--value" a4="show" a5="netplan.service"

type=CWD msg=audit(1626053451.193:483): cwd="/"

………(略过)

#正常关机审计日志开始日志段2:陆续停止服务

type=SERVICE_STOP msg=audit(1626053451.269:493): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=cron comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.269:494): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=udisks2 comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.273:495): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=rsyslog comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.273:496): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=polkit comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SYSTEM_SHUTDOWN msg=audit(1626053451.785:518): pid=5017 uid=0 auid=4294967295 ses=4294967295 msg=' comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.789:519): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-random-seed comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.789:520): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-update-utmp comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=DAEMON_END msg=audit(1626053451.795:8248): op=terminate auid=0 pid=1 subj= res=success

#正常关机审计日志开始日志段3:审计本次关机事件

type=SYSTEM_SHUTDOWN msg=audit(1626053451.785:518): pid=5017 uid=0 auid=4294967295 ses=4294967295 msg=' comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.789:519): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-random-seed comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1626053451.789:520): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-update-utmp comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=DAEMON_END msg=audit(1626053451.795:8248): op=terminate auid=0 pid=1 subj= res=success

#正常关机审计日志结束

解析:

  1. Systemctl先在查询系统服务状态
  2. 接着systemd服务陆续关闭系统及其第三方服务
  3. 系统systemd-update-utmp审计本次关机事件

故该关机审计是,该日志没有显式表明第三方服务参与和触发源,且均是系统服务正常关停流程,自此获得系统正常关机流程。

D)通过/userdata/H3C目录下脚本重启终端审计结果

type=SYSCALL msg=audit(1625820856.452:9): arch=c000003e syscall=59 success=yes exit=0 a0=55df7e0c87a0 a1=55df7e0ca350 a2=55df7e0c5ed0 a3=55df7e0bd010 items=2 ppid=1421 pid=1498 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="reboot" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1625820856.452:9): argc=1 a0="reboot"

type=CWD msg=audit(1625820856.452:9): cwd="/userdata/H3C"

解析:

comm=" reboot " ,命令参数是reboot

exe="/bin/systemctl" ,实际执行者是systemctl

key="shutdown_call" ,key是shutdown_call

cwd="/userdata/H3C ",执行进程的路径

type=EXECVE msg=audit(1625820856.452:9): argc=1 a0="reboot"

执行的命令是reboot

故该关机审计是/userdata/H3C/下执行了reboot的引起关机(并启动)

E)不符合预期关机审计结果

该日志截取于11号,5台不符合预期关机中的其中一台

#关机审计日志开始1:查询系统服务状态

type=SYSCALL msg=audit(1625993030.468:434): arch=c000003e syscall=59 success=yes exit=0 a0=5643a3c19dd8 a1=5643a3c19d40 a2=5643a3c19d98 a3=1b6 items=2 ppid=3601 pid=3608 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="systemctl" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1625993030.468:434): argc=6 a0="systemctl" a1="-p" a2="LoadState" a3="--value" a4="show" a5="netplan.service"

type=CWD msg=audit(1625993030.468:434): cwd="/"

type=PATH msg=audit(1625993030.468:434): item=0 name="/bin/systemctl" inode=105 dev=08:06 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

type=PATH msg=audit(1625993030.468:434): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=3108 dev=08:06 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

type=PROCTITLE msg=audit(1625993030.468:434): proctitle=73797374656D63746C002D70004C6F61645374617465002D2D76616C75650073686F77006E6574706C616E2E73657276696365

#关机审计日志开始2:陆续关闭系统服务

type=SERVICE_STOP msg=audit(1625993030.532:440): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=cron comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1625993030.532:441): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=udisks2 comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1625993030.540:442): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=rsyslog comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

#关机审计日志开始3:审计本次关机事件

type=SYSTEM_SHUTDOWN msg=audit(1625993031.060:472): pid=3639 uid=0 auid=4294967295 ses=4294967295 msg=' comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1625993031.064:473): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-random-seed comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=SERVICE_STOP msg=audit(1625993031.068:474): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=systemd-update-utmp comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

type=DAEMON_END msg=audit(1625993031.069:8248): op=terminate auid=0 pid=1 subj= res=success

#关机审计日志结束

解析:

和通过终端关机键关机流程一样,有以下结论

  1. Systemctl先在查询系统服务状态
  2. 接着systemd服务陆续关闭系统及其第三方服务

3,系统systemd-update-utmp审计本次关机事件

故该关机审计是,该日志没有显式表明第三方服务参与和触发源,且均是系统服务正常关停流程,即评估只可能是系统正常关机流程。

结合上面五个案例,可以得出

  1. 如果是显式调用关机必有执行源,并且/bin/systemctl是真正的执行者;
  2. 不符合预期关机审计看出,是正常系统关机,由于确定不是终端按钮触发,肯定存在另外触发源

3,定位后期

当比对和排除软件层面的因素后,剩下的:

  1. 电源稳定性(可能性小)
  2. 终端硬件本身有问题(可能性小)
  3. 讲台中控环境,或者人为因素

结合问题规律,实际上只能往3方向分析,通过调用监控发现每次出现问题的时间点均有学生在打扫卫生,或者现场有人。通过反复琢磨讲台最终发现11号下午的不符合预期关机均是人为无意导致,同时通过调用监控在后续也发现了他因,见【问题原因】

【问题原因】

问题的原因有两个:

  1. 大部分教室的键盘配置有power键,按下后终端立刻关机,在现场调用监控可知,一方面是打扫卫生用毛巾擦桌子(或者其他行为)时无意触碰到该按钮,另一方面也是教员有意为之(教员并不知道维护人员系希望永不停机)

  1. 教员在下课后习惯性注销虚拟机(本意应该是关机),导致vdsession断开虚拟机,然后教员在客户端右上角点击关机。这个通过日志和监控也当场确认无疑。

【问题解决】

针对原因1:编写了一键配置禁用power键的脚本(见附件2),键盘不再对终端关机。

针对原因2:目前可以引导客户使用,尽量避免客户人为关机,针对终端可以每天设置定时任务开机。

同时可以通过客户端toolbar返回客户端关机的问题,和代表处唐宇沟通,提ALM电子流需求(实现可以通过策略取消返回本地客户端的功能)。

注意

局点平时会关闭显示器,如果自动开机,客户端自动连接云桌面后,此时未连接显示器,客户端将无法知悉显示器分辨率,会产生小窗口问题。

【问题小结】

事后来看,原因都是人为,并且都能通过调用监控查到。问题难在:

  1. 这个问题怎么分析日志都是正常关机,无法分析到明确触发源。即使当我们调用audit服务来审计关机源时,怎么定位都是系统服务执行的正常关机流程。
  2. 现场无法远程,只能搜集日志,以及言语沟通,而传递的信息中有的是不准确的,混淆了定位方向。比如客户认为不可能是人为,因为盒子是锁着的,电源也没断,讲台没有针对该终端关机功能(键盘上实际有)。方向的混淆,导致在现场甚至关注过电源稳定性。
  3. 并且该问题有两个触发源,即使原因1解释了大部分,有部分教室也无法解释清楚。
  4. 现场的教室由于部分键盘没有power键,逃过了法眼,导致没有过早抓到原因。

这个问题在现场,实际是通过缩小问题范围逐步定位的,事后诸葛亮来看,其实当11号下午出现集中时间点出现5台不符合预期关机,基本就应该确定有人为规律迹象,同时也应该调转方向往监控和讲台更进一步全面排查。即我们应该准确的抓住既有事实及其规律深入往下分析,减少弯路。

附录

1,audit审计服务部署脚本及其安装包

解压后的文件中有readme.txt,安装包和安装脚本,请参考部署

2,配置软绘,软解,禁用power键

解压后的文件中有readme.txt和安装脚本,请参考部署

3,部署audit服务

本文配置对象:所有非arm架构的SpaceOS终端

3.1 手动安装auditd审计服务

第一步:安装auditd包以及依赖,见audit,zip

dpkg -i xxx.deb

第二步:添加审计规则文件audit.rules(见audit,zip解压后),到/etc/audit/rules.d目录下

第三步:重启终端,确认auditd服务启动正常,audit.rules生效

如图,auditd服务启动生效

如图,添加审计规则生效

3.2 批量安装auditd审计服务

1,首先通过命令下发功能,上传audit.zip包(见附件1),并输入命令,然后选择指定终端或者终端分组下发即可

sudo unzip /userdata/H3C/SpaceAgent/RecvFiles/audit.zip

2,  接着依然通过命令下发功能,并输入命令,然后选择指定终端或者终端分组下发即可

sudo chmod +x /userdata/H3C/SpaceAgent/RecvFiles/install_audit.sh;sudo /userdata/H3C/SpaceAgent/RecvFiles/install_audit.sh

3,如果后续想卸载audit (注意,有个参数1)

sudo chmod +x /userdata/H3C/SpaceAgent/RecvFiles/install_audit.sh;sudo /userdata/H3C/SpaceAgent/RecvFiles/install_audit.sh 1

说明:

如果终端已经成功执行过一次该脚本,第二次将不会执行和重启

3.3 验证auditd规则是否生效

我们添加了两条审计规则,

1) shutdown/poweroff命令执行

2) reboot系统调用执行

审计日志在/var/log/audit/audit.log

3.3.1 审计系统poweroff

root@localhost:~$ ls -la /sbin/poweroff

lrwxrwxrwx 1 root root 14 11月 15  2019 /sbin/poweroff -> /bin/systemctl

poweroff与shutdown其实执行的都是/bin/systemctl,通过参数来分区

命令行执行poweroff ,audit.log有如下输出

可以看到执行的是/bin/systemctl 参数为poweroff,key为shutdown_call

3.3.2 审计系统reboot

是否能够有效的审计reboot调用,答案是不能(shutdown/poweroff对应的系统调用是reboot)

原因:目前auditd版本,filter对应的匹配过滤,filter可以为:task,exit,user,exclude;已经没有entry了,也就是内核auditd线程,只有在系统调用返回的时候才会通知用户态auditd服务,不会在执行调用时刻发起通知,执行reboot, 这个时候用户态auditd,往往收不到消息的;

为了进一步验证,写一个手动调用reboot API的程序,进行验证,以spaceos用户执行,因没有权限,系统调用返回-1,可以看到其实是可以审计的,也就是系统调用返回时刻通知用户

4,audit审计日志与规则

4.1 audit审计规则

可参考:audit.rules(7) - Linux man page (die.net)

本文audit.rules规则解读如下

#监控文件系统行为,下表示,监控/bin/systemctl文件修改、写、读、执行修为,并指定关键词为shutdown_call

-w /bin/systemctl -p rwxa -k shutdown_call

#监控系统调用行为,下表示,行为完成后总是记录审计

-a always,exit -F arch=b64 -S reboot -k reboot_call

4.1.1 监控文件系统行为

规则格式:-w 路径 -p 权限 -k 关键字

其中权限动作分为四种 (依靠文件、目录的权限属性来识别)

r  读取文件

w 写入文件

x 执行文件

a 修改文件属性

示例:

监控/etc/passwd文件的修改行为(写,权限修改)

-w /etc/passwd -p wa 

4.1.2定义系统调用规则:

规则格式:-a action,filter -S system_call -F field=value -k key_name

  1. action和filter明确一个事件被记录。
  2. action可以为always或者never,
  3. filter明确出对应的匹配过滤,filter可以为:task,exit(行为完成后审计),user,exclude。
  4. system_call明确出系统调用的名字,几个系统调用可以写在一个规则里,如-S xxx -S xxx。系统调用的名字可以在/usr/include/asm/unistd_64.h文件中找到。
  5. field=value 作为附加选项,修改规则以匹配特定架构、GroupID,ProcessID等的事件。具体有哪些字段

4.2 audit审计日志关键词解析

可参考:

  1. auditctl(8) - Linux man page (die.net),
  2. 7.6. Understanding Audit Log Files Red Hat Enterprise Linux 6 | Red Hat Customer Portal

默认Audit日志存放在/var/log/audit/andit.log中,可以通过auditctl命令来定义自己的audit规则,auditctl的使用方法参考:https://linux.die.net/man/8/auditctl

以下面三条audit log为例:

type=SYSCALLmsg=audit(1364481363.243:24287): arch=c000003e syscall=2 success=no exit=-13a0=7fffd19c5592 a1=0 a2=7fffd19c4b50 a3=a items=1 ppid=2686 pid=3538 auid=500uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500tty=pts0 ses=1 comm="cat" exe="/bin/cat"subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023key="sshd_config"

type=CWD msg=audit(1364481363.243:24287): cwd="/home/shadowman"

type=PATHmsg=audit(1364481363.243:24287): item=0 name="/etc/ssh/sshd_config"inode=409248 dev=fd:00 mode=0100600 ouid=0 ogid=0 rdev=00:00obj=system_u:object_r:etc_t:s0

  1. type=SYSCALL这一行说明了audit的消息类型,audit消息类型可以对照https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Audit_Record_Types.html的表格进程查看,SYSCALL说明此次audit记录的是一次系统调用Kernel的记录
  2. msg=audit(1364481363.243:24287)这一行的格式是(time_stamp:ID),time_stamp是unix时间,可以将其转化为其他时间格式,可以使用站长工具进行转换:http://tool.chinaz.com/Tools/unixtime.aspx。相同的audit event可能会产生多条time_stamp和event ID相同的log
  3. msg后面跟了很多形式为“name=value”的键值对,这些键值对由kernel或者用户空间的进程产生。
  4. arch=c000003e标明CPU的类型,c000003e对应x86_64,使用ausearch查看audit日志时会自动将其解码
  5. syscall=2指出了发送给kernel的系统调用的类型,可以使用ausyscall --dump来显示所有的syscall的说明
  6. succeed=yes/no,说明此次syscall成功或失败
  7. exit=-13说明syscall的返回值是-13
  8. a0,a1,a2,a3指明了前4个参数,也是编码成16进制,通过ausearch命令可以解码查看
  9. items指出event中的path记录的数量
  10. ppid指明Parent Process ID,即父进程ID
  11. pid指明了进程ID
  12. auid指出audit user ID,即当时的登陆uid
  13. uid指出了对应进程的所有者ID
  14. gid对应进程的group ID
  15. euid对应进程的effective user ID
  16. suid对应set user ID
  17. fsuid对应file system user ID
  18. egid对应effective group ID
  19. sgid对应set group ID
  20. fsgid对应file system group ID
  21. tty指出对应进程是在哪个终端启动的
  22. ses指出了对应进程的session ID
  23. comm对应了进程执行的命令
  24. exe指出了进程的执行文件的路径
  25. subj指出进程执行时selinux上下文
  26. key是管理员定义的标明是哪条rule输出了这条audit日志
  27. 第二条日志中CWD指出了进程的执行目录(current working directory,当前工作目录),cwd字段指出了第一条日志中syscall的执行路径
  28. 第三条日中用来记录所有传递给syscall作为参数的路径,在这个audit事件中,仅有/etc/ssh/sshd_config作为参数进行传递,通过name字段指明
  29. inode指出了与文件或目录相对应的inode number,可以通过下面的命令查看inode对应的文件或目录:find/ -inum <inode number> -print
  30. dev=fd:00指出文件或目录对应的device ID,在例子中,对应/dev/fd/0这个设备
  31. mode=0100600对应文件或目录的权限,这里0100600被解析为-rw-------
  32. ouid对应文件的owner’s user ID
  33. ogid对应文件的owner’s group ID

linux audit 服务,Linux Ubuntu 14 Audit 系统审计服务
weixin_35995377的博客
05-07 1686
一、概述系统等保要求,必须做系统审计服务审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件,这里直接使用第三方插件 Audit,不用系统自带的审计服务日志。(如需要使用系统操作命令审计,可参考文章:https://www.cnblogs.com/tchua/p/7813284.html)Audit 说明文档: https://people.redhat.com/sgrubb/au...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1456
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux异常关机内存,linux关机问题解决
weixin_31192609的博客
04-30 737
一般linux关机会用到的命令就是shutdown命令shutdown命令在执行的时候会自动去调用sync这个工具,这个工具的作用是把内存里面的东西写入硬盘。不过为了安全,一般我们在执行shutdown命令的时候都用去执行几次sync这个命令。shutdown-k'notices'shutdown -k 表示不关机,然后发送notices内容给所有用户。shutdown-h+1'noti...
Linux之机器经常挂掉,如何排查问题
少说,多做。
06-04 1万+
如果Linux机器经常挂掉或重启,可能是由多种原因导致的,包括硬件故障、系统配置问题、驱动问题或软件缺陷。进行上述步骤时,建议您记录每一步的操作和结果,以便于追踪问题的来源。如果可行,尝试更换疑似有问题的硬件组件,如电源供应器、硬盘等,看问题是否解决。如果系统是因为某个特定的服务或进程而崩溃,相应的服务日志也可能提供线索。如果可能,暂时禁用或卸载最近安装的软件或更新,看问题是否仍然存在。确保所有硬件驱动都是最新的,特别是显卡和网络适配器的驱动。如果问题是由最近的系统更改引起的,尝试回滚到之前的状态。
20240824给飞凌OK3588-C的核心板刷Ubuntu22.04并连接adb
最新发布
南岭笑笑生之家
08-24 1387
缘起,由于我司对面积有极度的追求,所以将飞凌OK3588-C开发板使用的【9线+】type-C接口(USB3.1?)降级为4线的USB2.0。当然你有能力的话,貌似可以把需要安装的软件直接打包到Ubuntu22.04的文件系统中。2、通过USB数据线链接到你的电脑。如果连接不上,多插拔几次USB数据线,重启 飞凌OK3588-C的核心板 也是可选项!3、给飞凌OK3588-C的核心板 安装 ADB。
Linux】非正常关机启动报错-解决方案
liuliuhelingdao的博客
10-19 1246
但如果这种问题出现在了以集群为平台的虚拟机中,由于在创建虚拟机的时候并没有给虚拟机分配相关的光驱或者软驱,那么出现这种问题的原因就是由于不正常关机导致的系统目录加载出错,网上其他的解决方案也称之为“硬盘挂载”出错。由于最近我们的VSPHERE的集群实体主机发生HA的故障导致物理机器上的虚拟机非正常关机,手动开启虚拟机之后报出两种错误,相应的解决方案如下。出现这个错误的原因也是由于磁盘挂在错误导致的,如果在fstab中修改无效的话,同样使用。出错,那么可以将fd0目录删除,或者直接禁用,即可解决。
Linux系统异常排查(main)
风的专栏
06-05 4884
Linux系统异常排查流程图:Centos下查看cpu、磁盘、内存使用情况以及如何清理内存
centos审计服务audit导致使centos服务器不能登录,部署的应用不能运行和访问。
一滴水中的大海
11-18 1442
场景描述: 某天服务器上部署的tomcat服务夜间突然不能正常访问,此时用户访问量不大。查看线程还在运行,查看应用日志无任何异常,但是应用的控制台停止输出。只要重启后应用立刻能够正常访问。此后几天应用无任何异常把表现,但是经过一个周末后,周一早上发现应用不能又不能访问,并且服务器不能登录,重启服务器后,再重启应用,程序运行正常。此后应用每隔2到3天就会出现不能访问,并偶尔伴随操作系统不能登录,并且重启后正常。 原因: 运维人员查询原因后,确定是audit服务引起的,问题的原因是audit服务在繁忙的系统中进
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
audit-userspace:Linux审计用户空间存储库
02-05
4. **audit-tools**:一组命令行工具,如`ausearch`、`aureport`等,用于搜索、分析和报告审计日志,帮助管理员识别潜在的安全问题异常行为。 5. **auditd.conf**:配置文件,定义了审计d的行为,包括日志文件的...
linux主机宕机排查问题的方法
u012253351的博客
01-05 5976
Kdump 是一种有效的内存转储工具,启用 Kdump 后,生产内核将会保留一部分内存空间,用于在内核崩溃时通过 Kexec 快速启动到新的内核,这个过程不需要重启系统,因此可以转储崩溃的生产内核的内存镜像。如linux下的/var/log/下的log日志,包括message,内核报错日志demsg等等,sa记录,是记录cpu,内存等运行的性能文件,记录着运行时的cpu的运行状态如图所示。,cpu,内存,IO磁盘,应用BUG,内核BUG,硬件等。系统宕机的原因很多,需要我们细心的按照流程分析,
Linux系统分析和排查系统故障
m0_50818626的博客
04-11 809
dd if=/dev/sda of=/backup/sda.mbr bs=512 count=1 //备份mbr到其他目录。# dd if=/dev/zero of=/dev/sda bs=512 count=1 //模拟mbr文件故障。# dd if=/dev/zero of=/dev/sdb1 bs=512 count=4 //在执行时确定该分区未挂载。#rm -rf /root/123/file* //删除无关的文件,恢复磁盘i节点数量。
记录一次Centos7开启审计Audit,导致会自动关机问题
ljq354004063的博客
04-20 1596
发现某一台服务器,在获取svn代码时,获取一段时间后,服务器自动关机。 检查日志/var/log/messages 发现其中audit由于磁盘空间不够,导致关机的情况 检查发现: /var/log/audit审计日志占磁盘空间很大,直接删除后,释放了磁盘空间后,即可。 ...
Linux 信号应用之黑匣子程序设计
AlbertoNo1的博客
06-14 1940
重要 本文转载至:http://blog.jobbole.com/101619/ 1. 何为黑匣子程序及其必要性 飞机上面的黑匣子用于飞机失事后对事故的时候调查,同理,程序的黑匣子用于程序崩溃后对崩溃原因进程定位。其实Linux提供的core dump机制就是一种黑匣子(core文件就是黑匣子文件)。但是core文件并非在所有场景都适用,因为core文件是程序崩溃时的内
linux服务器主机异常重启故障分析报告
热门推荐
a568804062的博客
03-15 1万+
 2021年3月12日18时左右,收到客户通知,业务主机dpm1,在下午02:38:19发生重启,目前业务已经恢复,定位故障原因 服务器宕机主要有3条分析思路。 是否内存或者CPU爆满,导致服务器OOM,导致服务器重启 是否硬件导致重启 是否触发系统BUG 本着这3条思路,我们接下来分头排查。 观察系统日志(/var/log/messages、/var/log/dmesg) 登录管理卡地址,查看是否有硬件告警,并收集硬件信息,报告厂商协助排查 检查是否是系统内核bug导致,所以得看kdump在系统崩溃保留
Linux内核审计日志audit_log,linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1258
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
Audit-Go:使用 golang 和 Lua 中的 netlink 协议编写的用于 heka 的 Linux 审计插件
07-03
Audit-Go: 使用Golang和Lua实现的Linux审计插件》 在现代网络安全领域,审计系统扮演着至关重要的角色,它们能够记录并分析系统的活动,以检测潜在的安全威胁。在Linux环境中,一种常见的审计工具是Heka,它是一...
停止linux机器的auditd.service
mmgithub123的博客
02-25 3916
使用ansible 或者ssh的时候。因为机器上也装了一些特殊软件。导致经常ansible执行卡住,或者ssh卡住。或者机器莫名假死。 所以绝对停掉auditd.service服务看看。 但这个服务的service文件配置了,RefuseManualStop=yes,是不允许手动停止的。 所以需要这里RefuseManualStop=yes 改成no,然后操作。 ansible all-lin...
Linux 审计服务关停报错 Failed to stop auditd.service: Operation refused requested by dependency only
qq_42675635的博客
11-21 3469
audtid 配置问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值