嗨我们正在使用四个Linux服务器上的应用程序。 应用程序只是简单地使用脚本生成报告…现在对于三个服务器审计日志正在/ var / log / audit目录中生成(如下),但对于一个服务器没有日志正在生成。
[root@mhedr5 logs]# ls -ltr /var/log/audit |tail total 24748 -r--------. 1 root root 6291614 Jun 4 11:45 audit.log.4 -r--------. 1 root root 6291485 Jun 4 20:26 audit.log.3 -r--------. 1 root root 6291563 Jun 5 05:40 audit.log.2 -r--------. 1 root root 6291676 Jun 5 14:52 audit.log.1 -rw-------. 1 root root 138601 Jun 5 15:07 audit.log 我完全不知道这个概念。 是否有创build这些日志的服务器上运行任何脚本? 它与任何单独的脚本有关还是系统属性? 我怎么能解决这个问题? 任何人都可以告诉我或分享任何有用的链接? 请让我知道,如果你需要进一步的信息。
System info: # lsb_release -a (server where logs are generating) LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch Distributor ID: RedHatEnterpriseServer Description: Red Hat Enterprise Linux Server release 6.4 (Santiago) Release: 6.4 Codename: Santiago
令人惊讶的是,lsb_release -a不知道那些没有产生审计日志的服务器的命令…这也是一个红帽服务器。
cat /etc/*-release (server where audit logs are not generating) Red Hat Enterprise Linux Server release 6.4 (Santiago) Red Hat Enterprise Linux Server release 6.4 (Santiago)
对于服务器1:
# chkconfig --list auditd auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off # service auditd status auditd (pid 4886) is running...
对于服务器2:
# chkconfig --list auditd auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off # service auditd status auditd (pid 11165) is running...
在服务器2上:
ls -lart /var/log/audit total 16 drwxr-x---. 2 root root 12288 Feb 19 15:00 . drwxr-xr-x. 12 root root 4096 Jun 1 03:28 ..
auditd是挂钩到内核的审计子系统并将这些日志传输到文件系统的用户空间守护进程。 尽pipe所有的迹象都表明你的电脑正在运行,但你已经发现重新启动它会导致日志开始出现在光盘上。
什么问题? 谁现在可以说。 但是你可能想从这个教训中解脱出来,那些看起来不太好的守护进程可以从裤子里踢出来!