我是审计日志的新手。 我在Azure云上安装了Ubuntu VM,并安装了auditd守护进程。
目前我在audit.rules文件中没有规则。
# auditctl -l No rules 当我尾巴审计日志/var/log/audit/audit.log它不断地在日志中显示我netfilter消息如下:
type=NETFILTER_CFG msg=audit(1505852391.278:841): table=security family=2 entries=4 type=SYSCALL msg=audit(1505852391.278:841): arch=c000003e syscall=54 success=yes exit=0 a0=4 a1=0 a2=40 a3=b04600 items=0 ppid=118073 pid=118074 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="iptables" exe="/sbin/xtables-multi" key=(null) type=PROCTITLE msg=audit(1505852391.278:841): proctitle=69707461626C6573002D77002D74007365637572697479002D2D666C757368 type=NETFILTER_CFG msg=audit(1505852396.290:842): table=security family=2 entries=4 type=SYSCALL msg=audit(1505852396.290:842): arch=c000003e syscall=54 success=yes exit=0 a0=4 a1=0 a2=40 a3=18df600 items=0 ppid=118080 pid=118081 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="iptables" exe="/sbin/xtables-multi" key=(null) type=PROCTITLE msg=audit(1505852396.290:842): proctitle=69707461626C6573002D77002D74007365637572697479002D2D666C757368
现在我只能理解,netfilter的configuration是不断变化的,但不能理解为什么,它在做什么/改变或哪个进程触发了这个事件。
在这个虚拟机ufw和iptables已经停止。
请帮我弄清楚为什么相同的日志出现数千次。
谢谢