auditd配置num_logs不生效解决方法

最新推荐文章于 2025-01-03 17:20:55 发布
最新推荐文章于 2025-01-03 17:20:55 发布
阅读量951 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hrayha/article/details/78427893
本文介绍了一个关于Linux系统中auditd服务的日志文件数量配置问题。作者最初尝试通过设置num_logs值来限制日志文件的数量,但发现不起作用。在调整配置后,即将num_logs放在max_log_file_action附近,问题得以解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

配置auditd的num_logs值为5,但是发现并不生效,初始配置大概是这样

log_file = /xxx/xxx.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 5
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
max_log_file = 6
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
......



后来心想日志保留文件数跟ROTATE是有关联的,抱着试试的态度将num_logs 放到max_log_file_action后面,发现果然生效了,这里记录下留作备忘

hrayha
关注
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1607
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
auditd.conf的详细参数说明
狂客队长
07-17 3548
``` # 本地的事件是否记录,设置为no的场景应该是只作为远程日志收集的服务器,但自身的日志大多数时候也是有必要记录的 local_events = yes # 日志是否落盘,设置为no的场景应该是将会把日志存储到远程服务器的客户端(没有足够空间的情况下) write_logs = yes # 日志记录的文件 log_file = /var/log/audit/audit.log # 日志文件默认所属的组 log_group = adm # 日志的格式,一般设置为RAW即可 log_f
linux默认审计事件类型,linux运维审计
weixin_42347522的博客
05-14 439
选项 选项说明log_file =审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件log_format =写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置为NOLOG时,数据不会写到日志文...
auditd审计程序使用详解
daibaohui的博客
08-29 2806
auditd(Linux审核守护程序)简介 auditd是Linux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/中的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 9543
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
浪潮云启操作系统(InLinux)审计功能介绍及规则配置
lovebaby999的专栏
10-22 1481
可以使用auditctl -l查看系统当前配置了多少审计规则,auditctl的使用见后面的章节。
麒麟系统中auditd占用内存,如何解决,它是干嘛用的
03-25
用户可能遇到auditd占用过多内存的情况,需要找到原因和解决方法。 首先,我应该确认auditd的基本功能,确保解释清楚。然后分析内存占用高的可能原因,比如日志规则过多、日志文件过大、或者配置不当。接着,需要分...
服务器等保测评审计日志功能开启(auditd)和时间校准
weixin_43258559的博客
01-03 2319
腾讯云专业版与基础版:https://cloud.tencent.com/document/product/296/2222。提供日志记录的样例截图,包括记录的日志类型、具体日志记录的内容(是否会记录 "日期、时间、用户、事件类型、事件是否成功)Windows 和Linux 服务器时间校准。云服务器通常有备份,服务器内可不用备份。云上有主机安全 或者云安全中心。重新加载审计规则使其生效。
auditd启动慢
最新发布
05-09
num_logs = 5 # 保留5个历史日志 flush = incremental # 降低写入频率(原默认sync) ``` 调整后执行`service auditd restart`重启服务[^1]。 #### 3. 优化systemd单元配置 创建服务覆盖配置: ```bash sudo ...
Job for auditd.service failed because the control process exited with error code. See "systemctl status auditd.service" and "journalctl -xeu auditd.service" for details.
05-07
grep -E 'max_log_file|num_logs' /etc/audit/auditd.conf ``` ### 四、恢复默认配置 ```bash cp /usr/lib/systemd/system/auditd.service /etc/systemd/system/ systemctl daemon-reload ``` ### 五、日志分析...
【操作系统】安全审计-audit_linux audit,关于网络优化你必须要知道的重点
m0_61330806的博客
04-09 1363
5.num_logs:max_log_file_action:如果没有设置num_logs值,它就默认为0,意味着从来不循环日志文件。如果达到这个水平,则会采取admin_space_left_ action所指定的动作。10.admin_space_left_action:当自由磁盘空间量达到admin_space_left指定的值时,则采取动作。7.3如果设置为 EMAIL,则从action_mail_acct向这个地址发送一封电子邮件,并向/var/log/messages中写一条警告消息。
Linux auditd.conf详解
ddd123789999的博客
11-01 3115
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录中的日志文件。 log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到...
linux audit(安全审计功能)
underzerotem的博客
05-07 1411
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
【安全】audit的一些问题以及需要注意的地方
追寻梦想的青春
12-22 1076
当内核在执行audit_set_pid时,内核会占用audit_cmd_mutex,然后判断是否已经有其他进程占用audit,如果有就会尝试发送消息,从而判断用户态进程在正常接收审计日志,那么该调用就会返回File exists的报错。因此,在存在该问题的系统上,不能先执行audit_set_pid,然后通过结果判断,而是应该先干掉占用的进程,只在audit_pid为0时才调用audit_set_pid。当用户态程序消费审计日志过慢,造成缓存队列满时,会触发内核的睡眠机制,造成系统卡顿。
审计规则配置
weixin_44683938的博客
01-24 2662
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
linux日志auditd,如何使用auditd来监控Linux数据中心服务器上的事件?
weixin_39637924的博客
05-01 558
【51CTO.com快译】借助auditd,你可以更轻松地监控Linux服务器上的事件。Linux Auditing System是便于系统管理员为数据中心服务器上的几乎每个操作创建日志规则的一种好方法。使用该系统意味着可以通过日志文件,跟踪事件、记录事件,甚至检测滥用或未经授权的活动。审查守护程序(auditd)让你可以选择监控服务器上的哪些操作(而不是监控所有操作),不会干扰标准的日志工具(比...
linux审计参数comm,linux audit审计(3)--audit服务配置
weixin_32641973的博客
05-12 843
audit守护进程可以通过/etc/audit/auditd.conf文件进行配置,默认的auditd配置文件可以满足大多数环境的要求。local_events =yeswrite_logs=yeslog_file= /var/log/audit/audit.loglog_group=rootlog_format=RAWflush=INCREMENTAL_ASYNCfreq= 50max_log_...
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
auditd配置最佳实践:全面覆盖安全活动
修改配置后,需要重启auditd服务以使更改生效。在Red Hat、CentOS、Fedora等基于rpm的系统中,可以使用以下命令: ```bash sudo systemctl restart auditd ``` 在Debian、Ubuntu等基于dpkg的系统中,可以使用: `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值