audit服务启动失败一般有两个原因
1,netlink端口被占用
audit从内核往用户态发消息是通过netlink实现的,从include/linux/netlink.h中可查到预留端口NETLINK_AUDIT,即如果有用户态进程监听了此netlink端口,那么用户态服务就会启动失败,失败的原因就是因为netlink接收此端口的消息失败了。
定位方法
调用auditctl -s命令可查看到用户态的进程pid,进而查找到对应的进程信息
2,audit.log的权限问题
/var/log/audit/audit.log的权限必须是600或640才可以,如果被改成其他权限,也会启动失败
定位方法
如果是文件权限问题,则启动失败的信息会记录在/var/log/message文件中,启动服务时,查看此日志文件信息即可
audit服务启动失败定位方法
最新推荐文章于 2024-05-06 14:26:36 发布