提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档
一、背景信息
说明:由于我们的系统需要过二级等保,现在第三方测评机构要求我们开启审计服务,由于使用的是腾讯云的主机,所以我们需要将我们系统所涉及到的主机全部开启审计服务。但是有一个很奇怪的问题,就一台主机启动audit服务失败,其它主机都正常。
之前有各种百度,发现我今天遇到的这个问题,应该算是首例了,使劲了洪荒之力解决,然后总结记录下来,希望遇到相同问题的小伙伴可以参考借鉴。
二、报错日志
报错日志如下所示:
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Thu 2021-06-10 10:29:15 CST; 6min ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Process: 14112 ExecStart=/sbin/auditd (code=exited, status=1/FAILURE)
Main PID: 1734 (code=exited, status=0/SUCCESS)
Jun 10 10:29:15 es2 systemd[1]: Starting Security Auditing Service...
Jun 10 10:29:15 es2 auditd[14113]: Started dispatcher: /sbin/audispd pid: 14115
Jun 10 10:29:15 es2 auditd[14113]: Error setting audit daemon pid (File exists)
Jun 10 10:29:15 es2 auditd[14113]: Unable to set audit pid, exiting
Jun 10 10:29:15 es2 systemd[1]: auditd.service: control process exited, code=exited status=1
Jun 10 10:29:15 es2 systemd[1]: Failed to start Security Auditing Service.
Jun 10 10:29:15 es2 systemd[1]: Unit auditd.service entered failed state.
Jun 10 10:29:15 es2 systemd[1]: auditd.service failed.
三、分析解决
1、我查看了系统日志和服务日志,说实话没有看出非常关键的日志信息,想了很久也各种百度,但是均不能给我带来解决问题的思路。
2、由于本人对audit不熟,我觉得有必要了解一下,我花了半个小时的时间,将audit的介绍、作用、配置、常见命令熟悉了一下。
3、了解完之后突然鬼使神差的使用了auditctl -s命令,竟然看到了pid的值,奇怪,进程不是没起来了,怎么会有pid呢?,突然我有种预感,这个问题应该可以大概有戏了。
如下图所示:
4、根据pid的值,我查到了该进程,如下图所示:
5、从进程上看,然后百度了一下这是是腾讯云安全监控组件,不清楚为什么会占用audit服务的进程id,不纠结了,我进入/usr/local/qcloud/YunJing目录停掉了该服务,然后重新启动audit服务,可以正常启动,没有报错,如下图所示:
总结:整理不易,如果对你有帮助,可否点赞关注一下?
更多详细内容请参考:Linux运维实战总结