audit日志重复保存

最新推荐文章于 2025-03-16 22:11:09 发布
最新推荐文章于 2025-03-16 22:11:09 发布
阅读量1.6k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/native_lee/article/details/120216393

一、当前环境

Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build04/20200711
Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-aarch64-Build20/20210518

二、问题描述

Centos: audit 服务启动状态下,只会 /var/log/audit/audit.log 会记录 audit的信息
Kylinos: 在 audit 服务启动状态下,会同时向 /var/log/messages 和 /var/log/audit/audit.log 会记录 audit的信息
openeuler 也存在同样的问题

三、分析

1.经过分析,内核的audit使用netlink与用户空间进行通信。
如下图所示
在这里插入图片描述
2.下载systemd 243的源码,可见对内核的audit的netlink进行了连接
在这里插入图片描述

3.下载对应版本的audit服务的源码,也可见对内核的audit的netlink进行了连接。
在这里插入图片描述

4.如下图所示,左边为Kylin V10 SP1 20200711,左边CentOS8,Kylin-V10(SP1)多了一个systemd-journald-audit.socket。

在这里插入图片描述

5.当删除/usr/lib/systemd/system/systemd-journald-audit.socket文件时,/var/log/message日志中便不再保存audit日志了。

6.经过分析,该问题为systemd的问题,systemd-journald.service会记录audit的日志,开启auditd服务之后,又会去记录audit日志,导致audit日志记录了双份。

7.经资料查找,下面补丁,可以解决这个问题。

From 7a650ee8d3faf79fd5ef866b69741880a3a42b8d Mon Sep 17 00:00:00 2001
From: Jan Synacek <jsynacek@redhat.com>
Date: Thu, 2 May 2019 14:11:54 +0200
Subject: [PATCH] journal: don't enable systemd-journald-audit.socket
 by default

Resolves: #1699287

---
 units/meson.build                 | 3 +--
 units/systemd-journald.service.in | 2 +-
 2 files changed, 2 insertions(+), 3 deletions(-)

diff --git a/units/meson.build b/units/meson.build
index 4eb09a3..ccea8a6 100644
--- a/units/meson.build
+++ b/units/meson.build
@@ -110,8 +110,7 @@ units = [
          'sysinit.target.wants/'],
         ['systemd-journal-gatewayd.socket',     'ENABLE_REMOTE HAVE_MICROHTTPD'],
         ['systemd-journal-remote.socket',       'ENABLE_REMOTE HAVE_MICROHTTPD'],
-        ['systemd-journald-audit.socket',       '',
-         'sockets.target.wants/'],
+        ['systemd-journald-audit.socket',       ''],
         ['systemd-journald-dev-log.socket',     '',
          'sockets.target.wants/'],
         ['systemd-journald.socket',             '',
diff --git a/units/systemd-journald.service.in b/units/systemd-journald.service.in
index 0cb1bfa..fa7348a 100644
--- a/units/systemd-journald.service.in
+++ b/units/systemd-journald.service.in
@@ -34,7 +34,7 @@ RestrictRealtime=yes
 RestrictSUIDSGID=yes
 RuntimeDirectory=systemd/journal
 RuntimeDirectoryPreserve=yes
-Sockets=systemd-journald.socket systemd-journald-dev-log.socket systemd-journald-audit.socket
+Sockets=systemd-journald.socket systemd-journald-dev-log.socket
 StandardOutput=null
 SystemCallArchitectures=native
 SystemCallErrorNumber=EPERM
-- 
2.23.0
springboot+logback+MySQL之日志打印并保存到MySQL
Masli的博客
09-04 6201
第一步: pom.xml文件 &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.springframework.boot&amp;lt;/groupId&amp;gt; &amp;lt;artifactId&amp;gt;spring-boot-starter-web&amp;lt;/artifactId&amp;gt; &amp;
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2248
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
09-04 1735
【代码】麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理。
linux 系统审计audit详解
weixin_34061042的博客
04-09 2491
2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。  要使用Linux Auditing System,可采用下面的步骤:  (1) 配置审计守护进...
linux 内核打印log太多咋办?
sstower的专栏
07-05 543
7 4 1 7” 分别对应console_loglevel、default_message_loglevel、minimum_console_loglevel、default_console_loglevel,意味着只有优先级高于KERN_DEBUG(7)的打印消息才能输出到终端。有时候发现,linux 内核打印太多消息了,对有用消息造成了干扰,如果你一个个源文件去关闭打印太麻烦了,有没有一种更方便的方式来关闭这些消息呢?如果想屏蔽掉所有的内核printk打印,那么只需要把第一个数值调到最小值1或者0。
linux服务篇-Systemctl
太极淘的博客
05-17 7268
Systemd 简介 Systemd 是一系列工具的集合,其作用也远远不仅是启动操作系统,它还接管了后台服务、结束、状态查询,以及日志归档、设备管理、电源管理、定时任务等许多职责,并支持通过特定事件(如插入特定 USB 设备)和特定端口数据触发的 On-demand(按需)任务。 Systemd 的后台服务还有一个特殊的身份——它是系统中 PID 值为 1 的进程。 Systemctl官方手册:https://www.freedesktop.org/software/systemd/man/syste
Systemd 日常使用介绍
MENGHUANBEIKE的专栏
10-29 952
应用场景:对日常系统启动过程进行管理,优化启动速度。 1. systemd原理 Systemd概述 systemd系统架构图 1.1 基础概念-Unit Systemd将系统初始化过程中所有的操作步骤都被抽象为Unit对应于之前SysVinit时代的Daemon的超集,根据不同的操作内容,Unit被细分为多个分类: service :类似于SysVinit时...
区块链学习笔记(3)--区块链与审计part2 (对论文Secure and Transparent Audit Logs with BlockAudit的学习)
weixin_44826484的博客
08-26 1950
使用区块审计进行安全透明的日志审计 论文 “Secure and Transparent Audit Logs with BlockAudit” 学习笔记 文章目录使用区块审计进行安全透明的日志审计摘要介绍背景以及威胁模型日志审计威胁模型研究现状问题陈述以及需求工程设计功能需求结构需求安全需求区块审计应用架构web应用业务逻辑层ORM生成审计日志将审计日志集成于区块链创建区块链网络访问控制创建区块...
Python库 | django_easy_audit-1.3.0a1-py3-none-any.whl
02-15
`django_easy_audit` 就是为了简化这个过程,通过自动追踪模型实例的创建、更新和删除,以及登录、注销等用户事件,将这些信息保存到数据库中,以便后期分析。 **安装与使用** `django_easy_audit` 的安装非常简单...
企业 Elasticsearch日志分析平台
Howei__的博客
06-12 1088
Elasticsearch介绍 安装配置 添加图形界面 ES分布式部署 Logstash数据采集 kibana数据可视化 xpack安全验证
Kylin-Server-10-SP1-Release-Build20-20210518-arm64
02-02
Kylin-Server-10-SP1-Release-Build20-20210518-arm64 银河麒麟V10 鲲鹏ARM版本 build20
Linux中使用systemctl如何管理Systemd服务和单元
yuyuyuliang00的博客
07-23 1478
Linux systemctl管理Systemd服务和单元
查看麒麟操作系统版本
热门推荐
一醉轻王侯的技术博客
11-30 2万+
查看麒麟操作系统版本
centos禁用exec_LINUX CentOS 8 systemctl firewall 防火墙开启/关闭 命令
weixin_29838911的博客
02-01 702
[root@bigdata hadoop]# systemctl list-unit-filesUNIT FILE STATEproc-sys-fs-binfmt_misc.automount static-.mountgeneratedboot.mountgenerateddev-hugepages.mounts...
Linux基础知识之systemd详解
神棍之路
03-07 4670
描述:为了避免和 pacman 冲突,不应该直接编辑软件包提供的文件. 要更改由软件包提供的单元文件,先创建名为/etc/systemd/system/.d/ 的文件夹(如 /etc/systemd/system/httpd.service.d/然后放入 *.conf 文件,当中能够加入或重置參数,这里设置的參数优先级高于原来的单元文件。实际案例:登录后复制#1.比如假设想加入一个额外的依赖。
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 512
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
银河麒麟高级V10 SP1服务器系统同步外网源到本地
qq_39496637的博客
03-20 2248
服务器系统:Kylin-Server-10-SP1-Release-Build20-20210518-x86_64。# 使用reposync命令同步外网源仓库到本地,若是同步arm的yum源,则将下面x86_64换成aarch64。本文同步的是外网x86的yum源仓库,若需要同步arm的yum源仓库,则需要修改yum配置文件的架构。-t, --tempcache 使用临时目录存储/访问yum-cache。-n, --newest-only 仅下载per-repo的最新软件包。
Linux 中的审计与系统调用(audit、syscall)
w1010b的博客
03-16 1481
Linux AuditLinux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。
【安全】audit的一些问题以及需要注意的地方
追寻梦想的青春
12-22 1046
当内核在执行audit_set_pid时,内核会占用audit_cmd_mutex,然后判断是否已经有其他进程占用audit,如果有就会尝试发送消息,从而判断用户态进程在正常接收审计日志,那么该调用就会返回File exists的报错。因此,在存在该问题的系统上,不能先执行audit_set_pid,然后通过结果判断,而是应该先干掉占用的进程,只在audit_pid为0时才调用audit_set_pid。当用户态程序消费审计日志过慢,造成缓存队列满时,会触发内核的睡眠机制,造成系统卡顿。
k8s1.23.6配置审计日志策略记录pvc的创建删除
最新发布
07-20
1. 日志轮转:通过 `--audit-log-maxsize` 和 `--audit-log-maxbackup` 自动管理日志大小 2. 性能影响:生产环境建议仅记录必要操作(避免使用 `RequestResponse` 级别) 3. PVC 状态关联:删除 PVC 会导致关联 PV ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值