audit日志重复保存

最新推荐文章于 2025-09-05 07:39:12 发布
原创 最新推荐文章于 2025-09-05 07:39:12 发布 · 1.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

一、当前环境

Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build04/20200711
Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build20/20210518

二、问题描述

Centos: audit 服务启动状态下,只会 /var/log/audit/audit.log 会记录 audit的信息
Kylinos: 在 audit 服务启动状态下,会同时向 /var/log/messages 和 /var/log/audit/audit.log 会记录 audit的信息
openeuler 也存在同样的问题

三、分析

1.经过分析,内核的audit使用netlink与用户空间进行通信。
如下图所示
在这里插入图片描述
2.下载systemd 243的源码,可见对内核的audit的netlink进行了连接
在这里插入图片描述

3.下载对应版本的audit服务的源码,也可见对内核的audit的netlink进行了连接。
在这里插入图片描述

4.如下图所示,左边为Kylin V10 SP1 20200711,左边CentOS8,Kylin-V10(SP1)多了一个systemd-journald-audit.socket。

在这里插入图片描述

5.当删除/usr/lib/systemd/system/systemd-journald-audit.socket文件时,/var/log/message日志中便不再保存audit日志了。

6.经过分析,该问题为systemd的问题,systemd-journald.service会记录audit的日志,开启auditd服务之后,又会去记录audit日志,导致audit日志记录了双份。

7.经资料查找,下面补丁,可以解决这个问题。

From 7a650ee8d3faf79fd5ef866b69741880a3a42b8d Mon Sep 17 00:00:00 2001
From: Jan Synacek <jsynacek@redhat.com>
Date: Thu, 2 May 2019 14:11:54 +0200
Subject: [PATCH] journal: don't enable systemd-journald-audit.socket
 by default

Resolves: #1699287

---
 units/meson.build                 | 3 +--
 units/systemd-journald.service.in | 2 +-
 2 files changed, 2 insertions(+), 3 deletions(-)

diff --git a/units/meson.build b/units/meson.build
index 4eb09a3..ccea8a6 100644
--- a/units/meson.build
+++ b/units/meson.build
@@ -110,8 +110,7 @@ units = [
          'sysinit.target.wants/'],
         ['systemd-journal-gatewayd.socket',     'ENABLE_REMOTE HAVE_MICROHTTPD'],
         ['systemd-journal-remote.socket',       'ENABLE_REMOTE HAVE_MICROHTTPD'],
-        ['systemd-journald-audit.socket',       '',
-         'sockets.target.wants/'],
+        ['systemd-journald-audit.socket',       ''],
         ['systemd-journald-dev-log.socket',     '',
          'sockets.target.wants/'],
         ['systemd-journald.socket',             '',
diff --git a/units/systemd-journald.service.in b/units/systemd-journald.service.in
index 0cb1bfa..fa7348a 100644
--- a/units/systemd-journald.service.in
+++ b/units/systemd-journald.service.in
@@ -34,7 +34,7 @@ RestrictRealtime=yes
 RestrictSUIDSGID=yes
 RuntimeDirectory=systemd/journal
 RuntimeDirectoryPreserve=yes
-Sockets=systemd-journald.socket systemd-journald-dev-log.socket systemd-journald-audit.socket
+Sockets=systemd-journald.socket systemd-journald-dev-log.socket
 StandardOutput=null
 SystemCallArchitectures=native
 SystemCallErrorNumber=EPERM
-- 
2.23.0
Linux日志分析和管理
谢公子的博客
09-11 2975
目录 日志的作用、分类、管理、轮转和级别 rsyslog服务 Journal守护进程 /var/log下相关的日志文件 日志服务器的建立 日志的作用、分类、管理、轮转和级别 日志的作用: 用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断,解决系统故障 日志文件的分类: 内核及系统日志:由系统服务rsyslog 统一管理,日志格式相似 用户日志:记录系统用户登...
企业 Elasticsearch日志分析平台
Howei__的博客
06-12 1141
Elasticsearch介绍 安装配置 添加图形界面 ES分布式部署 Logstash数据采集 kibana数据可视化 xpack安全验证
systemd-journald日志服务:systemd-journald-audit.socket
追寻梦想的青春
08-26 2354
systemd-journald的作用是收集系统启动阶段的日志以及服务在启动和运行中的日志,因此,如果服务是用systemd管理的,打印到标准输出的信息就会作为日志systemd-journal获取到。前面systemd-journald的配置可以看出,日志保存时可以保存在内存,也可以保存在磁盘,保存在内存中的日志,当机器重启就没了,但是性能会比较好,保存在磁盘中的日志,重启还在,但是性能会差一些。为了提高日志存储的效率,日志保存的格式肯定会采用二进制的方式,因此,无法直接打开日志文件查看,需要使用。
银河麒麟高级服务器操作系统V10同步外网源到本地
09-08
本文同步的是外网x86的yum源仓库,若需要同步arm的yum源仓库,则需要修改yum配 置文件的架构 为aarch64,其他配置不变
systemd系统审计:audit集成与安全事件记录
最新发布
gitblog_00562的博客
09-05 601
在当今复杂的系统环境中,安全审计(Security Audit)已成为保障系统完整性和可追溯性的关键机制。systemd作为现代Linux系统的核心组件,深度集成了内核审计子系统(Kernel Audit Subsystem),提供了统一的安全事件记录和管理方案。本文将深入探讨systemd如何与audit子系统协同工作,实现全面的安全监控。 ## systemdaudit的架构集成 ###...
Kylin-Server-10-SP1-Release-Build20-20210518-arm64
02-02
Kylin-Server-10-SP1-Release-Build20-20210518-arm64 银河麒麟V10 鲲鹏ARM版本 build20
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
09-04 1958
【代码】麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理。
linux 系统审计audit详解
weixin_34061042的博客
04-09 2538
2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。  要使用Linux Auditing System,可采用下面的步骤:  (1) 配置审计守护进...
linux 内核打印log太多咋办?
sstower的专栏
07-05 641
7 4 1 7” 分别对应console_loglevel、default_message_loglevel、minimum_console_loglevel、default_console_loglevel,意味着只有优先级高于KERN_DEBUG(7)的打印消息才能输出到终端。有时候发现,linux 内核打印太多消息了,对有用消息造成了干扰,如果你一个个源文件去关闭打印太麻烦了,有没有一种更方便的方式来关闭这些消息呢?如果想屏蔽掉所有的内核printk打印,那么只需要把第一个数值调到最小值1或者0。
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2307
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
区块链学习笔记(3)--区块链与审计part2 (对论文Secure and Transparent Audit Logs with BlockAudit的学习)
weixin_44826484的博客
08-26 2043
使用区块审计进行安全透明的日志审计 论文 “Secure and Transparent Audit Logs with BlockAudit” 学习笔记 文章目录使用区块审计进行安全透明的日志审计摘要介绍背景以及威胁模型日志审计威胁模型研究现状问题陈述以及需求工程设计功能需求结构需求安全需求区块审计应用架构web应用业务逻辑层ORM生成审计日志将审计日志集成于区块链创建区块链网络访问控制创建区块...
Python库 | django_easy_audit-1.3.0a1-py3-none-any.whl
02-15
`django_easy_audit` 就是为了简化这个过程,通过自动追踪模型实例的创建、更新和删除,以及登录、注销等用户事件,将这些信息保存到数据库中,以便后期分析。 **安装与使用** `django_easy_audit` 的安装非常简单...
linux服务篇-Systemctl
太极淘的博客
05-17 7411
Systemd 简介 Systemd 是一系列工具的集合,其作用也远远不仅是启动操作系统,它还接管了后台服务、结束、状态查询,以及日志归档、设备管理、电源管理、定时任务等许多职责,并支持通过特定事件(如插入特定 USB 设备)和特定端口数据触发的 On-demand(按需)任务。 Systemd 的后台服务还有一个特殊的身份——它是系统中 PID 值为 1 的进程。 Systemctl官方手册:https://www.freedesktop.org/software/systemd/man/syste
银河麒麟高级服务器v10 sp1 搭建局域网yum源(同步阿里yum源centos7.9)
yuchen008的博客
07-28 7978
银河麒麟高级服务器v10 sp1 搭建局域网yum源(同步阿里yum源centos7.9)
Systemd 日常使用介绍
MENGHUANBEIKE的专栏
10-29 1029
应用场景:对日常系统启动过程进行管理,优化启动速度。 1. systemd原理 Systemd概述 systemd系统架构图 1.1 基础概念-Unit Systemd将系统初始化过程中所有的操作步骤都被抽象为Unit对应于之前SysVinit时代的Daemon的超集,根据不同的操作内容,Unit被细分为多个分类: service :类似于SysVinit时...
Linux中使用systemctl如何管理Systemd服务和单元
yuyuyuliang00的博客
07-23 1638
Linux systemctl管理Systemd服务和单元
华为交换机怎么调取操作日志
05-10
<think>嗯,用户之前问过如何在华为交换机查看操作日志,我给出了详细的步骤,包括实时日志、历史日志、配置验证和过滤方法。现在用户又提了类似的问题,但这次用的是“调取”这个词,可能他们想要更具体的操作步骤或者不同的方法。 首先,我需要确认用户的需求是否和之前一样,还是有什么不同。之前的回答已经涵盖了基本的方法,但用户可能希望更深入,比如导出日志或者远程备份。也有可能用户在使用过程中遇到了问题,比如找不到日志文件,或者权限不够。 用户这次的查询提到“参考站内引用”,但之前的引用可能不是他们真正需要的,所以需要仔细分析他们实际的需求。可能用户需要的是如何将日志导出到外部服务器,或者如何自动化日志收集。另外,用户可能对权限管理有疑问,比如哪些用户有权访问日志,或者如何设置日志的访问控制。 还需要检查之前的回答是否遗漏了某些命令或者配置步骤。比如,是否提到了日志文件的存储路径,或者如何调整日志级别。此外,用户可能需要知道如何查看不同时间段的日志,或者如何解析日志文件进行分析。 另外,用户可能遇到的具体问题,比如日志文件过大无法打开,或者日志没有记录某些操作,这时候需要检查日志配置是否正确,存储空间是否足够,或者是否有足够的权限。 最后,生成的相关问题需要覆盖用户可能的后续疑问,比如备份日志、管理日志文件大小、故障诊断等。要确保回答不仅重复之前的内容,还要补充可能的进阶操作和故障排除方法。</think>### 华为交换机调取操作日志的详细方法 操作日志的调取需要根据实际需求选择不同方式,以下是**4种核心方法**及其使用场景: --- #### **1. 实时日志抓取(内存缓冲区)** **适用场景**:快速查看最近操作记录(如调试配置、验证命令是否执行成功)。 **命令与解释**: ```bash <HUAWEI> display logbuffer | include "executed|saved|User" # 过滤关键操作 ``` - **核心过滤标签**: - `executed`:用户输入的命令(需开启命令日志记录) - `saved`:配置保存事件 - `User`:用户登录/登出记录 - **配置增强**: ```bash [HUAWEI] info-center source command channel logfile # 强制记录所有CLI命令[^1] [HUAWEI] info-center logbuffer size 512 # 调整缓冲区大小(默认256条) ``` --- #### **2. 日志文件调取(持久化存储)** **适用场景**:审计历史操作(如安全事件溯源、配置变更追踪)。 **操作步骤**: 1. **定位日志文件**: ```bash <HUAWEI> dir flash:/logfile/ # 查看日志存储目录 ``` 2. **查看特定文件**: ```bash <HUAWEI> more flash:/logfile/operation.log # 逐页查看日志内容 ``` 3. **导出日志**(需开启FTP/TFTP): ```bash <HUAWEI> tftp 192.168.1.100 put flash:/logfile/operation.log # 上传到服务器 ``` --- #### **3. 精准时间范围查询** **适用场景**:排查特定时间段的操作异常(如网络中断期间的操作记录)。 **命令示例**: ```bash <HUAWEI> display logbuffer start-time 2023-10-01-10:00 end-time 2023-10-01-11:00 ``` - **时间格式**:`YYYY-MM-DD-HH:MM` - **组合过滤**: ```bash <HUAWEI> display logbuffer | include "GigabitEthernet0/0/1" # 指定端口日志 ``` --- #### **4. 高危操作监控** **配置方法**(通过ACL匹配敏感操作): ```bash [HUAWEI] acl 3000 [HUAWEI-acl-adv-3000] rule 5 permit tcp destination-port eq 23 # 监控Telnet操作 [HUAWEI] info-center filter-id 3000 ``` **监控效果**: ``` 2023-10-01 14:30:25 User:guest attempted Telnet access via 10.1.1.2 (ACL 3000 triggered) ``` --- ### **关键配置验证** 1. **检查日志功能状态**: ```bash <HUAWEI> display info-center # 确认日志通道状态为"Active" ``` 2. **存储路径验证**: ```bash <HUAWEI> display logfile directory # 查看日志文件实际存储位置 ``` 3. **权限管理**: ```bash [HUAWEI] aaa [HUAWEI-aaa] local-user audit01 privilege level 3 service-type terminal # 创建审计专用账户 ``` --- ### **常见问题排查** | 现象 | 解决方法 | |---------------------|--------------------------------------------------------------------------| | 日志文件无法导出 | 检查网络连通性,确认`tftp-server`或`ftp-server`已启用 | | 日志记录时间不准确 | 配置NTP同步:`[HUAWEI] ntp-service unicast-server 192.168.1.200` | | 部分操作未记录 | 检查用户权限等级,`level 3`以下用户操作可能被过滤[^2] | --- ### 相关问题 1. **如何设置华为交换机自动删除30天前的历史日志?** 2. **如何通过SNMP协议远程获取交换机的操作日志?** 3. **操作日志中出现大量`%SECURITY/ATTACK`告警应如何分析?** 建议参考华为《日志管理最佳实践》文档[^3]获取深度配置案例。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值