audit日志重复保存

最新推荐文章于 2025-03-16 22:11:09 发布
最新推荐文章于 2025-03-16 22:11:09 发布
阅读量1.6k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/native_lee/article/details/120216393

一、当前环境

Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build04/20200711
Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build20/20210518

二、问题描述

Centos: audit 服务启动状态下,只会 /var/log/audit/audit.log 会记录 audit的信息
Kylinos: 在 audit 服务启动状态下,会同时向 /var/log/messages 和 /var/log/audit/audit.log 会记录 audit的信息
openeuler 也存在同样的问题

三、分析

1.经过分析,内核的audit使用netlink与用户空间进行通信。
如下图所示
在这里插入图片描述
2.下载systemd 243的源码,可见对内核的audit的netlink进行了连接
在这里插入图片描述

3.下载对应版本的audit服务的源码,也可见对内核的audit的netlink进行了连接。
在这里插入图片描述

4.如下图所示,左边为Kylin V10 SP1 20200711,左边CentOS8,Kylin-V10(SP1)多了一个systemd-journald-audit.socket。

在这里插入图片描述

5.当删除/usr/lib/systemd/system/systemd-journald-audit.socket文件时,/var/log/message日志中便不再保存audit日志了。

6.经过分析,该问题为systemd的问题,systemd-journald.service会记录audit的日志,开启auditd服务之后,又会去记录audit日志,导致audit日志记录了双份。

7.经资料查找,下面补丁,可以解决这个问题。

From 7a650ee8d3faf79fd5ef866b69741880a3a42b8d Mon Sep 17 00:00:00 2001
From: Jan Synacek <jsynacek@redhat.com>
Date: Thu, 2 May 2019 14:11:54 +0200
Subject: [PATCH] journal: don't enable systemd-journald-audit.socket
 by default

Resolves: #1699287

---
 units/meson.build                 | 3 +--
 units/systemd-journald.service.in | 2 +-
 2 files changed, 2 insertions(+), 3 deletions(-)

diff --git a/units/meson.build b/units/meson.build
index 4eb09a3..ccea8a6 100644
--- a/units/meson.build
+++ b/units/meson.build
@@ -110,8 +110,7 @@ units = [
          'sysinit.target.wants/'],
         ['systemd-journal-gatewayd.socket',     'ENABLE_REMOTE HAVE_MICROHTTPD'],
         ['systemd-journal-remote.socket',       'ENABLE_REMOTE HAVE_MICROHTTPD'],
-        ['systemd-journald-audit.socket',       '',
-         'sockets.target.wants/'],
+        ['systemd-journald-audit.socket',       ''],
         ['systemd-journald-dev-log.socket',     '',
          'sockets.target.wants/'],
         ['systemd-journald.socket',             '',
diff --git a/units/systemd-journald.service.in b/units/systemd-journald.service.in
index 0cb1bfa..fa7348a 100644
--- a/units/systemd-journald.service.in
+++ b/units/systemd-journald.service.in
@@ -34,7 +34,7 @@ RestrictRealtime=yes
 RestrictSUIDSGID=yes
 RuntimeDirectory=systemd/journal
 RuntimeDirectoryPreserve=yes
-Sockets=systemd-journald.socket systemd-journald-dev-log.socket systemd-journald-audit.socket
+Sockets=systemd-journald.socket systemd-journald-dev-log.socket
 StandardOutput=null
 SystemCallArchitectures=native
 SystemCallErrorNumber=EPERM
-- 
2.23.0
springboot+logback+MySQL之日志打印并保存到MySQL
Masli的博客
09-04 6200
第一步: pom.xml文件 &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.springframework.boot&amp;lt;/groupId&amp;gt; &amp;lt;artifactId&amp;gt;spring-boot-starter-web&amp;lt;/artifactId&amp;gt; &amp;
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2247
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
09-04 1735
【代码】麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理。
linux 系统审计audit详解
weixin_34061042的博客
04-09 2491
2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。  要使用Linux Auditing System,可采用下面的步骤:  (1) 配置审计守护进...
linux 内核打印log太多咋办?
sstower的专栏
07-05 543
7 4 1 7” 分别对应console_loglevel、default_message_loglevel、minimum_console_loglevel、default_console_loglevel,意味着只有优先级高于KERN_DEBUG(7)的打印消息才能输出到终端。有时候发现,linux 内核打印太多消息了,对有用消息造成了干扰,如果你一个个源文件去关闭打印太麻烦了,有没有一种更方便的方式来关闭这些消息呢?如果想屏蔽掉所有的内核printk打印,那么只需要把第一个数值调到最小值1或者0。
linux服务篇-Systemctl
太极淘的博客
05-17 7267
Systemd 简介 Systemd 是一系列工具的集合,其作用也远远不仅是启动操作系统,它还接管了后台服务、结束、状态查询,以及日志归档、设备管理、电源管理、定时任务等许多职责,并支持通过特定事件(如插入特定 USB 设备)和特定端口数据触发的 On-demand(按需)任务。 Systemd 的后台服务还有一个特殊的身份——它是系统中 PID 值为 1 的进程。 Systemctl官方手册:https://www.freedesktop.org/software/systemd/man/syste
Linux中使用systemctl如何管理Systemd服务和单元
yuyuyuliang00的博客
07-23 1477
Linux systemctl管理Systemd服务和单元
区块链学习笔记(3)--区块链与审计part2 (对论文Secure and Transparent Audit Logs with BlockAudit的学习)
weixin_44826484的博客
08-26 1950
使用区块审计进行安全透明的日志审计 论文 “Secure and Transparent Audit Logs with BlockAudit” 学习笔记 文章目录使用区块审计进行安全透明的日志审计摘要介绍背景以及威胁模型日志审计威胁模型研究现状问题陈述以及需求工程设计功能需求结构需求安全需求区块审计应用架构web应用业务逻辑层ORM生成审计日志将审计日志集成于区块链创建区块链网络访问控制创建区块...
Python库 | django_easy_audit-1.3.0a1-py3-none-any.whl
02-15
`django_easy_audit` 就是为了简化这个过程,通过自动追踪模型实例的创建、更新和删除,以及登录、注销等用户事件,将这些信息保存到数据库中,以便后期分析。 **安装与使用** `django_easy_audit` 的安装非常简单...
企业 Elasticsearch日志分析平台
Howei__的博客
06-12 1088
Elasticsearch介绍 安装配置 添加图形界面 ES分布式部署 Logstash数据采集 kibana数据可视化 xpack安全验证
Kylin-Server-10-SP1-Release-Build20-20210518-arm64
02-02
Kylin-Server-10-SP1-Release-Build20-20210518-arm64 银河麒麟V10 鲲鹏ARM版本 build20
查看麒麟操作系统版本
热门推荐
一醉轻王侯的技术博客
11-30 2万+
查看麒麟操作系统版本
centos禁用exec_LINUX CentOS 8 systemctl firewall 防火墙开启/关闭 命令
weixin_29838911的博客
02-01 702
[root@bigdata hadoop]# systemctl list-unit-filesUNIT FILE STATEproc-sys-fs-binfmt_misc.automount static-.mountgeneratedboot.mountgenerateddev-hugepages.mounts...
Linux基础知识之systemd详解
神棍之路
03-07 4669
描述:为了避免和 pacman 冲突,不应该直接编辑软件包提供的文件. 要更改由软件包提供的单元文件,先创建名为/etc/systemd/system/.d/ 的文件夹(如 /etc/systemd/system/httpd.service.d/然后放入 *.conf 文件,当中能够加入或重置參数,这里设置的參数优先级高于原来的单元文件。实际案例:登录后复制#1.比如假设想加入一个额外的依赖。
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 512
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
银河麒麟高级V10 SP1服务器系统同步外网源到本地
qq_39496637的博客
03-20 2245
服务器系统:Kylin-Server-10-SP1-Release-Build20-20210518-x86_64。# 使用reposync命令同步外网源仓库到本地,若是同步arm的yum源,则将下面x86_64换成aarch64。本文同步的是外网x86的yum源仓库,若需要同步arm的yum源仓库,则需要修改yum配置文件的架构。-t, --tempcache 使用临时目录存储/访问yum-cache。-n, --newest-only 仅下载per-repo的最新软件包。
Linux 中的审计与系统调用(audit、syscall)
w1010b的博客
03-16 1465
Linux AuditLinux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。
【安全】audit的一些问题以及需要注意的地方
追寻梦想的青春
12-22 1046
当内核在执行audit_set_pid时,内核会占用audit_cmd_mutex,然后判断是否已经有其他进程占用audit,如果有就会尝试发送消息,从而判断用户态进程在正常接收审计日志,那么该调用就会返回File exists的报错。因此,在存在该问题的系统上,不能先执行audit_set_pid,然后通过结果判断,而是应该先干掉占用的进程,只在audit_pid为0时才调用audit_set_pid。当用户态程序消费审计日志过慢,造成缓存队列满时,会触发内核的睡眠机制,造成系统卡顿。
华为虚拟化Kylin Server-10 SP1安装VMTools
不一样的精彩
12-21 2426
Fusioncompute8.0.0 kylin server v10安装vmtools
k8s1.23.6配置审计日志策略记录pvc的创建删除
最新发布
07-20
<think>我们正在运行 Kubernetes 1.23.6 版本,需要配置审计日志策略来记录 PVC(PersistentVolumeClaim)的创建和删除操作。根据引用[1],Kubernetes审计功能可以记录集群中的操作序列,包括用户、应用程序和控制平面的活动。我们将通过修改kube-apiserver的配置来启用审计,并定义审计策略文件来捕获PVC的创建和删除事件。 ### 步骤概览 1. 创建审计策略文件,指定记录PVC的创建(create)和删除(delete)操作。 2. 修改kube-apiserver的静态Pod清单,添加审计相关的启动参数。 3. 确保所需的目录存在(参考引用[2]中提到的目录结构)。 4. 重启kube-apiserver以使配置生效。 ### 详细步骤 #### 1. 创建审计策略文件 在控制平面节点上(如master节点),创建审计策略文件,例如`/etc/kubernetes/audit-policy.yaml`。该文件将定义我们想要记录的PVC事件。 ```yaml apiVersion: audit.k8s.io/v1 kind: Policy rules: # 记录PVC的创建和删除操作 - level: Metadata verbs: ["create", "delete"] resources: - group: "" # 核心API组 resources: ["persistentvolumeclaims"] # 可选:忽略其他资源的日志,但注意:默认情况下,没有匹配规则的资源将不会被记录。 # 我们可以添加一条规则来忽略其他资源的日志,但这里我们只关注PVC,所以其他资源不记录。 # 注意:如果希望记录所有资源的元数据,可以添加一条规则:level: Metadata,但这样日志量会很大。 ``` #### 2. 修改kube-apiserver清单 kube-apiserver以静态Pod方式运行,其清单文件通常位于`/etc/kubernetes/manifests/kube-apiserver.yaml`。我们需要编辑这个文件,添加审计相关的参数和卷挂载。 在`spec.containers.command`部分添加以下参数: ```yaml - --audit-policy-file=/etc/kubernetes/audit-policy.yaml - --audit-log-path=/var/log/kubernetes/audit.log - --audit-log-maxsize=100 # 每个审计日志文件的最大大小(MB) - --audit-log-maxbackup=5 # 保留的旧日志文件的最大数量 ``` 同时,在`volumeMounts`和`volumes`中添加相应的挂载: 在`volumeMounts`中添加: ```yaml - mountPath: /etc/kubernetes/audit-policy.yaml name: audit-policy readOnly: true - mountPath: /var/log/kubernetes name: audit-log ``` 在`volumes`中添加: ```yaml - name: audit-policy hostPath: path: /etc/kubernetes/audit-policy.yaml type: File - name: audit-log hostPath: path: /var/log/kubernetes type: DirectoryOrCreate # 如果目录不存在则创建 ``` #### 3. 创建所需目录 根据引用[2],我们需要确保宿主机上存在相关目录。在控制平面节点上执行: ```bash # 配置文件目录(已存在则跳过) sudo mkdir -p /etc/kubernetes # 日志目录 sudo mkdir -p /var/log/kubernetes # 设置日志目录权限(确保apiserver可以写入) sudo chmod 700 /var/log/kubernetes ``` 将审计策略文件保存到`/etc/kubernetes/audit-policy.yaml`。 #### 4. 重启kube-apiserver 保存修改后的`kube-apiserver.yaml`文件,Kubernetes会自动重启kube-apiserver Pod。等待几分钟,然后检查日志是否开始记录。 ### 验证 检查审计日志文件是否生成: ```bash sudo tail -f /var/log/kubernetes/audit.log ``` 然后创建一个PVC并删除,观察日志中是否有相关事件。事件中会包含`verb`(create/delete)和`objectRef.resource`(persistentvolumeclaims)等信息。 ### 注意事项 - 审计日志可能会快速增长,需要定期清理或使用日志轮转工具。 - 在Kubernetes 1.23中,审计日志功能稳定,但请确保在测试环境中验证后再应用到生产环境。 - 如果集群有多个master节点,需要在每个master节点上重复上述步骤(因为每个节点运行自己的apiserver实例)。 ### 示例日志片段 创建PVC的日志可能如下: ```json { "kind": "Event", "apiVersion": "audit.k8s.io/v1", "level": "Metadata", "auditID": "c1d1a8c7-5e2e-4a8a-9a1f-0e3f2a5b6c7d", "stage": "ResponseComplete", "requestURI": "/api/v1/namespaces/default/persistentvolumeclaims", "verb": "create", "user": { "username": "admin", "groups": ["system:authenticated"] }, "sourceIPs": ["192.168.1.1"], "objectRef": { "resource": "persistentvolumeclaims", "namespace": "default", "name": "my-pvc", "apiVersion": "v1" }, "responseStatus": { "code": 201 }, "requestReceivedTimestamp": "2023-10-05T12:00:00.000000Z", "stageTimestamp": "2023-10-05T12:00:00.100000Z" } ``` 删除PVC的日志类似,但`verb`为`delete`。 ### 相关问题 1. 如何将Kubernetes审计日志发送到外部系统(如Elasticsearch)进行集中存储和分析? 2. 如何配置审计日志的保留策略和自动清理? 3. 除了PVC,如何审计其他资源(如Pod、Deployment)的操作?</think>### Kubernetes 1.23.6 配置审计日志记录 PVC 创建/删除操作 #### 📝 步骤 1:创建审计策略文件 在控制平面节点创建策略文件 `/etc/kubernetes/audit-policy.yaml`: ```yaml apiVersion: audit.k8s.io/v1 kind: Policy rules: # 记录 PVC 创建/删除操作 - level: Metadata verbs: ["create", "delete"] resources: - group: "" # 核心 API 组 resources: ["persistentvolumeclaims"] # 可选:记录 PVC 更新操作(如状态变更) - level: Request verbs: ["update"] resources: - group: "" resources: ["persistentvolumeclaims"] # 记录命名空间操作(PVC 依赖命名空间) - level: Metadata resources: - group: "" resources: ["namespaces"] ``` #### ⚙️ 步骤 2:修改 API 服务器配置 编辑 `/etc/kubernetes/manifests/kube-apiserver.yaml`,添加审计参数: ```yaml spec: containers: - command: - kube-apiserver # 审计配置参数 ▼ - --audit-policy-file=/etc/kubernetes/audit-policy.yaml - --audit-log-path=/var/log/kubernetes/audit.log - --audit-log-maxsize=100 # 单个日志文件最大 100MB - --audit-log-maxbackup=5 # 保留 5 个备份文件 # 卷挂载 ▼ volumeMounts: - mountPath: /etc/kubernetes/audit-policy.yaml name: audit-policy readOnly: true - mountPath: /var/log/kubernetes name: audit-log volumes: - name: audit-policy hostPath: path: /etc/kubernetes/audit-policy.yaml type: File - name: audit-log hostPath: path: /var/log/kubernetes type: DirectoryOrCreate # 自动创建目录[^2] ``` #### 📂 步骤 3:创建必要目录 ```bash # 创建配置和日志目录[^2] sudo mkdir -p /etc/kubernetes /var/log/kubernetes sudo chmod 700 /var/log/kubernetes # 安全权限设置 # 放置策略文件 sudo cp audit-policy.yaml /etc/kubernetes/ ``` #### 🔄 步骤 4:重启 API 服务器 ```bash # 删除 API 服务器 Pod 触发重建 sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/ sleep 10 sudo mv /tmp/kube-apiserver.yaml /etc/kubernetes/manifests/ ``` #### ✅ 验证配置 检查 PVC 操作是否被记录: ```bash # 创建测试 PVC kubectl create -f - <<EOF apiVersion: v1 kind: PersistentVolumeClaim metadata: name: test-audit-pvc spec: accessModes: [ "ReadWriteOnce" ] resources: requests: storage: 1Gi EOF # 删除 PVC kubectl delete pvc test-audit-pvc # 检查审计日志 sudo tail /var/log/kubernetes/audit.log | grep persistentvolumeclaims ``` #### 🔍 典型 PVC 审计日志示例 ```json // PVC 创建记录 { "verb": "create", "objectRef": { "resource": "persistentvolumeclaims", "name": "test-audit-pvc", "apiVersion": "v1" }, "responseStatus": {"code": 201}, "user": {"username": "admin"}, "sourceIPs": ["192.168.1.5"] } // PVC 删除记录 { "verb": "delete", "objectRef": { "resource": "persistentvolumeclaims", "name": "test-audit-pvc" }, "responseStatus": {"code": 200}, "user": {"username": "admin"} } ``` #### ⚠️ 注意事项 1. 日志轮转:通过 `--audit-log-maxsize` 和 `--audit-log-maxbackup` 自动管理日志大小 2. 性能影响:生产环境建议仅记录必要操作(避免使用 `RequestResponse` 级别) 3. PVC 状态关联:删除 PVC 会导致关联 PV 进入 `Released` 状态[^1] 4. 多主节点:需在所有控制平面节点重复配置 > 📌 关键点:PVC 操作通过 `resources: ["persistentvolumeclaims"]` 捕获,命名空间操作有助于跟踪资源归属[^3] --- ### 🔎 相关问题 1. 如何将 Kubernetes 审计日志与 Elasticsearch 集成实现集中存储? 2. PVC 的 `Bound` 和 `Released` 状态变更在审计日志中如何体现? 3. 审计日志中的 `Request` 和 `RequestResponse` 级别有何具体区别? 4. 如何配置自动清理超过 30 天的旧审计日志
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值