highlight: brown-paper
- 针对麒麟系统(Kylin V10)auth.log日志过大的问题进行处理。
- 通过巡检发现服务器资源空间不足,进一步查看auth.log文件,发现其大小高达22G。
- 使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息主要是审计日志信息。
- 这个现象可以理解为麒麟操作系统的一个bug,解决方法为:
1. systemctl stop systemd-journald-audit.socket
2. mv /usr/lib/systemd/system/systemd-journald-audit.socket /usr/lib/systemd/system/systemd-journald-audit.socket-bak
3. systemctl restart systemd-journald.service
- 在Kylin V10 SP1中,发现多了一个systemd-journald-audit.socket文件。
- 系统启7动了systemd-journald.service服务后,会记录audit日志。
- 开启auditd服务后,又会记录一份audit日志,导致audit日志被记录了双份。
- 为了解决这个问题,需要移除systemd-journald-audit.socket文件。
- 重启systemd-journald.service服务,并使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息不再包含审计日志信息。