我最近试图使用auditd来查找在CentOS 5 x64操作系统上创buildtmp文件的内容。 我删除了规则:
# auditctl -l No rules 但是有很多写入审计日志。 如果我使用ssh检查日志:
# watch ls -la /var/log/audit/
auditd写入2kb / s。 如果我用samba检查它,它会每秒轮换5MB的日志文件。 如果我通过ssh检查并使用samba打开一个目录 – 每次打开一个目录时它会写入1 MB。 我将它与我的CentOS 6服务器进行比较,该服务器在通过ssh检查日志时不写入日志。 只有当我通过sshlogin/注销时才写入。
我没有改变configuration。
更新 :服务器重新启动后,auditd不再写入那么多的数据。 它仍然写东西,但不会泛滥。 这是现在写的东西:
type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
没有规则 – auditctl -l什么也没有显示。 除了可能会导致auditd在日志中写入的规则外,还有其他什么吗?
你重新启动审计服务? /etc/init.d/auditd restart或者service auditd restart
/var/log/audit/audit.log文件中正在创build什么事件?