audit日志重复保存

最新推荐文章于 2024-04-30 17:02:38 发布
最新推荐文章于 2024-04-30 17:02:38 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: linux服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/native_lee/article/details/120216393
版权

一、当前环境

Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build04/20200711
Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build20/20210518

二、问题描述

Centos: audit 服务启动状态下,只会 /var/log/audit/audit.log 会记录 audit的信息
Kylinos: 在 audit 服务启动状态下,会同时向 /var/log/messages 和 /var/log/audit/audit.log 会记录 audit的信息
openeuler 也存在同样的问题

三、分析

1.经过分析,内核的audit使用netlink与用户空间进行通信。
如下图所示
在这里插入图片描述
2.下载systemd 243的源码,可见对内核的audit的netlink进行了连接
在这里插入图片描述

3.下载对应版本的audit服务的源码,也可见对内核的audit的netlink进行了连接。
在这里插入图片描述

4.如下图所示,左边为Kylin V10 SP1 20200711,左边CentOS8,Kylin-V10(SP1)多了一个systemd-journald-audit.socket。

在这里插入图片描述

5.当删除/usr/lib/systemd/system/systemd-journald-audit.socket文件时,/var/log/message日志中便不再保存audit日志了。

6.经过分析,该问题为systemd的问题,systemd-journald.service会记录audit的日志,开启auditd服务之后,又会去记录audit日志,导致audit日志记录了双份。

7.经资料查找,下面补丁,可以解决这个问题。

From 7a650ee8d3faf79fd5ef866b69741880a3a42b8d Mon Sep 17 00:00:00 2001
From: Jan Synacek <jsynacek@redhat.com>
Date: Thu, 2 May 2019 14:11:54 +0200
Subject: [PATCH] journal: don't enable systemd-journald-audit.socket
 by default

Resolves: #1699287

---
 units/meson.build                 | 3 +--
 units/systemd-journald.service.in | 2 +-
 2 files changed, 2 insertions(+), 3 deletions(-)

diff --git a/units/meson.build b/units/meson.build
index 4eb09a3..ccea8a6 100644
--- a/units/meson.build
+++ b/units/meson.build
@@ -110,8 +110,7 @@ units = [
          'sysinit.target.wants/'],
         ['systemd-journal-gatewayd.socket',     'ENABLE_REMOTE HAVE_MICROHTTPD'],
         ['systemd-journal-remote.socket',       'ENABLE_REMOTE HAVE_MICROHTTPD'],
-        ['systemd-journald-audit.socket',       '',
-         'sockets.target.wants/'],
+        ['systemd-journald-audit.socket',       ''],
         ['systemd-journald-dev-log.socket',     '',
          'sockets.target.wants/'],
         ['systemd-journald.socket',             '',
diff --git a/units/systemd-journald.service.in b/units/systemd-journald.service.in
index 0cb1bfa..fa7348a 100644
--- a/units/systemd-journald.service.in
+++ b/units/systemd-journald.service.in
@@ -34,7 +34,7 @@ RestrictRealtime=yes
 RestrictSUIDSGID=yes
 RuntimeDirectory=systemd/journal
 RuntimeDirectoryPreserve=yes
-Sockets=systemd-journald.socket systemd-journald-dev-log.socket systemd-journald-audit.socket
+Sockets=systemd-journald.socket systemd-journald-dev-log.socket
 StandardOutput=null
 SystemCallArchitectures=native
 SystemCallErrorNumber=EPERM
-- 
2.23.0
elimuzi
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
银河麒麟服务器V10SP1双内核更改低版本内核为第一引导项
weixin_45754407的博客
06-28 3473
银河麒麟服务器V10SP1双内核更改低版本内核为第一引导项
XUbuntu22.04之解决:systemd-journald占用cpu过高问题(二百一十三)
Android系统攻城狮
02-23 1257
本篇目的:XUbuntu22.04之解决:systemd-journald占用cpu过高问题。systemd-journald是Linux操作系统中的一种系统日志守护进程,它是systemd系统和服务管理器的一部分。systemd-journald负责收集、存储和检索系统日志消息,是现代Linux发行版中默认的日志服务。systemd-journald的主要功能是提供一个统一的日志系统,用于替代传统的syslogd服务。与syslogd相比,systemd-journald提供了更多的优势。
查看麒麟操作系统版本
热门推荐
一醉轻王侯的技术博客
11-30 2万+
查看麒麟操作系统版本
银河麒麟高级服务器操作系统V10——安装Tuxedo12
11-10 4137
银河麒麟高级服务器操作系统V10——安装Tuxedo12引言1. 什么是 TUXEDO2. 我的环境2.1 操作系统环境2.2 JAVA 版本2.3 ORACLE 版本 11.2.0.43. 安装前的准备工作3.1 下载、上传与展开3.2 建立用户和组3.3 移动安装包并赋权4. 第一次尝试:控制台模式下安装4.1 JAVA_HOME is not set4.2 开始控制台模式下安装4.3 控制台模式下安装止步于此5. 第二次尝试:图型界面模式下安装5.1 先决条件5.2 ROOT 用户环境下安装5.3 为
银河麒麟V10SP1服务器系统同步外网源到本地
weixin_45754407的博客
11-03 1446
一、配置系统环境 二、配置外网yum源 三、搭建本地yum源 四、创建定时同步任务
linux服务篇-Systemctl
太极淘的博客
05-17 5736
Systemd 简介 Systemd 是一系列工具的集合,其作用也远远不仅是启动操作系统,它还接管了后台服务、结束、状态查询,以及日志归档、设备管理、电源管理、定时任务等许多职责,并支持通过特定事件(如插入特定 USB 设备)和特定端口数据触发的 On-demand(按需)任务。 Systemd 的后台服务还有一个特殊的身份——它是系统中 PID 值为 1 的进程。 Systemctl官方手册:https://www.freedesktop.org/software/systemd/man/syste
银河麒麟高级服务器v10 sp1 搭建局域网yum源(同步阿里yum源centos7.9)
yuchen008的博客
07-28 6950
银河麒麟高级服务器v10 sp1 搭建局域网yum源(同步阿里yum源centos7.9)
Systemd 日常使用介绍
MENGHUANBEIKE的专栏
10-29 714
应用场景:对日常系统启动过程进行管理,优化启动速度。 1. systemd原理 Systemd概述 systemd系统架构图 1.1 基础概念-Unit Systemd将系统初始化过程中所有的操作步骤都被抽象为Unit对应于之前SysVinit时代的Daemon的超集,根据不同的操作内容,Unit被细分为多个分类: service :类似于SysVinit时...
在Linux中使用systemctl如何管理Systemd服务和单元
yuyuyuliang00的博客
07-23 1158
Linux systemctl管理Systemd服务和单元
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
08-25 1182
9. 重启systemd-journald.service服务,并使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息不再包含审计日志信息。5. 在Kylin V10 SP1中,发现多了一个systemd-journald-audit.socket文件。3. 使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息主要是审计日志信息。6. 系统启7动了systemd-journald.service服务后,会记录audit日志
server_audit.so
04-26
mariadb5.5.68linuxx86_64.tar解压出来的日志审计插件 可直接放在mysql安装目录 install
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式...
server_audit.rar
06-16
基本上,MariaDB Audit Plugin的目的是记录服务器的活动。对于每个客户端会话,它记录谁连接到服务器(即用户名和主机),执行了哪些查询,访问了哪些表以及更改了服务器变量。此信息存储在循环日志文件中,或者可以...
利用Kiwi Syslog收集系统日志.doc
04-24
路由器交换机防火墙等网络设备的系统日志...虽然这些网络设备本身可以存储日志,但是系统自身存储的日志一般保存时间不超过24小时,并且仅仅以缓存的形式保存在内存里,如果设备关机又重启,之前系统日志就不存在了!
『Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 955
Linux 基本指令
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 263
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
最新发布
weixin_44131922的博客
04-30 384
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 746
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
设置 audit 日志保存时间
02-28
设置 audit 日志保存时间取决于您的特定需求和组织的安全政策。通常来说,建议保留最少六个月的日志记录,以确保足够长的时间来检测和响应安全事件。 但是,一些组织可能需要保留更长时间的日志记录,以满足监管要求或法律法规的要求。因此,建议在制定日志记录策略时考虑这些要求和要求。 除了保留日志记录的时间之外,还需要确保对保存日志进行定期备份,以防止数据丢失或损坏。此外,应该采用适当的措施来保护日志记录,如加密、访问控制和审计日志的完整性检查,以确保日志记录的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值