《Linux运维总结:audit启动失败怎么办》

最新推荐文章于 2024-07-21 17:41:56 发布
最新推荐文章于 2024-07-21 17:41:56 发布
阅读量2w 收藏 8
点赞数 5
分类专栏: 《Linux运维实战总结》 文章标签: linux nginx docker 运维 centos
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/117805507
版权

提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录


一、背景信息

说明:由于我们的系统需要过二级等保,现在第三方测评机构要求我们开启审计服务,由于使用的是腾讯云的主机,所以我们需要将我们系统所涉及到的主机全部开启审计服务。但是有一个很奇怪的问题,就一台主机启动audit服务失败,其它主机都正常。

之前有各种百度,发现我今天遇到的这个问题,应该算是首例了,使劲了洪荒之力解决,然后总结记录下来,希望遇到相同问题的小伙伴可以参考借鉴。

二、报错日志

报错日志如下所示:

● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Thu 2021-06-10 10:29:15 CST; 6min ago
     Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
  Process: 14112 ExecStart=/sbin/auditd (code=exited, status=1/FAILURE)
 Main PID: 1734 (code=exited, status=0/SUCCESS)

Jun 10 10:29:15 es2 systemd[1]: Starting Security Auditing Service...
Jun 10 10:29:15 es2 auditd[14113]: Started dispatcher: /sbin/audispd pid: 14115
Jun 10 10:29:15 es2 auditd[14113]: Error setting audit daemon pid (File exists)
Jun 10 10:29:15 es2 auditd[14113]: Unable to set audit pid, exiting
Jun 10 10:29:15 es2 systemd[1]: auditd.service: control process exited, code=exited status=1
Jun 10 10:29:15 es2 systemd[1]: Failed to start Security Auditing Service.
Jun 10 10:29:15 es2 systemd[1]: Unit auditd.service entered failed state.
Jun 10 10:29:15 es2 systemd[1]: auditd.service failed.

三、分析解决

1、我查看了系统日志和服务日志,说实话没有看出非常关键的日志信息,想了很久也各种百度,但是均不能给我带来解决问题的思路。
2、由于本人对audit不熟,我觉得有必要了解一下,我花了半个小时的时间,将audit的介绍、作用、配置、常见命令熟悉了一下。
3、了解完之后突然鬼使神差的使用了auditctl -s命令,竟然看到了pid的值,奇怪,进程不是没起来了,怎么会有pid呢?,突然我有种预感,这个问题应该可以大概有戏了。
如下图所示:
在这里插入图片描述
4、根据pid的值,我查到了该进程,如下图所示:
在这里插入图片描述
5、从进程上看,然后百度了一下这是是腾讯云安全监控组件,不清楚为什么会占用audit服务的进程id,不纠结了,我进入/usr/local/qcloud/YunJing目录停掉了该服务,然后重新启动audit服务,可以正常启动,没有报错,如下图所示:
在这里插入图片描述

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:Linux运维实战总结

东城绝神
关注
专栏目录
启动audit服务报错
鸣一的专栏
08-24 1021
【代码】启动audit服务报错。
linux audit审计(2)--audit启动
weixin_30384031的博客
03-30 1064
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 有些系统audit的内核模块时默认关闭的。可以查看/proc/cmdline,看au...
安装CentOS Stream 8时,报错 “started cancel waiting for multipath siblings of nvme0n1“
最新发布
shyuu的博客
07-21 808
【系列】真机安装CentOS Stream 8问题之:第一步,解决安装CentOS Stream 8时,报错 "started cancel waiting for multipath siblings of nvme0n1"
ansible:如何在centos 7上重新启动auditd服务得到关于依赖的错误
weixin_42803243的博客
01-11 1438
在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。当 playbook 运行时,会更新审计规则并请求重新启动 auditd,但这会失败,如下所示。中进行了探索、讨论和解决(大部分)。中进行了探索、讨论和解决(大部分)。
开启linux内核层审计,linux audit审计(2)--audit启动
weixin_34768019的博客
05-01 2462
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls1、启动audit内核模块有些系统audit的内核模块时默认关闭的。可以查看/proc/cmdline,看audit=0,如果为0,则...
Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by depende
qwqwqz的博客
11-21 899
上网查下,说要用service auditd restart。
Linux系统安全--安全审计audit
u012967763的专栏
01-12 2320
1、audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs)。syslog记...
Linux audit详解
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
audit服务启动失败定位方法
qq_23953675的博客
03-24 3836
audit服务启动失败一般有两个原因 1,netlink端口被占用 audit从内核往用户态发消息是通过netlink实现的,从include/linux/netlink.h中可查到预留端口NETLINK_AUDIT,即如果有用户态进程监听了此netlink端口,那么用户态服务就会启动失败,失败的原因就是因为netlink接收此端口的消息失败了。 定位方法 调用auditctl -s命令可查看到用户态的进程pid,进而查找到对应的进程信息 2,audit.log的权限问题 /var/log/audit/au
麒麟系统配置审计服务提示condition failed
weixin_57466446的博客
06-21 755
查看内核是否开启,audit=0为没有开启。vim修改audit=1。配置审计服务后启动服务后状态提示condition failed。重新启动系统以应用新的内核启动参数。更新 GRUB 配置。
docker容器中启动audit服务失败
Blue summer的博客
11-15 1822
注:本文基于CentOS 6.5编写 1、背景 在容器中启动audit服务,一直报错, [root@localhost /]# service auditd start Starting auditd: [FAILED] [root@localhost /]# 2、原因和解决方案 报错是因为当前audit不支持在容器中...
auditd.service control process exited linux审计服务启动失败
swindy博客
12-06 5859
auditd.service control process exited linux审计服务启动失败Centos7) service restart auditd.service //尝试用此命令重启 journalctl -xe //查看报错 报错信息: Value 30MB should only be numbers - line 38 vim /etc/audit/auditd.conf //查看配置文件的详细信息 set nu 发现配置文件中 配置参数 max_log_file //有两行
Linux运维-Linux系统用户及组管理-用户账号安全策略
Linux系统用户管理 用户权限管理在Linux系统中是非常重要的一部分,通过对用户账号的管理,可以有效控制系统的安全性。本章将介绍Linux系统用户的添加、删除以及权限和角色的管理。 #### 1.1 用户账号的添加与...
Linux运维-Linux基本操作和服务器硬件选购指南-高可用集群搭建与维护
Linux基本操作 ## 1.1 Linux系统介绍 Linux操作系统是一种开放源代码的Unix-like操作系统,最初由Linus Torvalds在1991年创建。它在服务器领域十分流行,也被广泛用于嵌入式系统、超级计算机和移动设备等领域。...
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
weixin_42680139的博客
04-28 2126
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd...
linux shell 脚本 入门到实战详解[⭐建议收藏!!⭐]
热门推荐
心有鸿鹄天地,不敢妄坠人间
09-28 28万+
文章目录shell 入门到实战详解[⭐建议收藏!!⭐]关于作者**作者介绍**一、shell 入门简介1.1 什么是shell1.2 shell 编程注意事项1.3 第一个shell 脚本 hello world二、shell 环境变量讲解2.1 shell 变量详解2.2 shell 系统变量 介绍2.3 shell 环境变量 介绍2.3.1 常见的系统环境变量2.4 shell 用户环境变量 介绍2.4.1 自定义shell环境变量2.4.2 echo 打印菜单栏2.4.3 shell 中彩色输出 h
linux init.d服务不启动,Centos 6.5 auditd无法启动服务或/e​​tc/init.d/audit start
weixin_33609654的博客
05-05 1138
失败:# service auditd startStarting auditd: [FAILED]失败:# /etc/init.d/auditd startStarting auditd: [FAILED]令人沮丧的是 – 工作:...
Centos启动卡住,starting auditd: [failed]
java_xth的博客
04-12 2543
具体原因可能是什么权限导致的吧 = =,母鸡啊 解决方式: 在重启客户端时输入 i 然后输入 a ,在<_root KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM后空格输入 single再 enter就进入了 ...
启动auditd时,报错如下,怎么解决?
ehazhuoo104的专栏
11-04 994
CGSL系统中启动auditd时,报错:/etc/audit/audit.rules is world writable怎么解决?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值