В настоящее время мы обновляем некоторые DNS-серверы. Некоторые процессы продолжают запрашивать старый DNS после /etc/resolv.conf, чего и следовало ожидать, поскольку многие процессы кешируют resolv.conf
Я создаю это правило auditd:
auditctl -A exit,always -F arch=b64 -S sendmsg -S sendto -k send
Я попытался host google.com
затем ausearch -k send -i|grep -A2 "serv:53"
что дало:
type=SOCKADDR msg=audit(04/15/2020 13:28:13.118:4786263) : saddr=inet host:10.249.0.2 serv:53
type=SYSCALL msg=audit(04/15/2020 13:28:13.118:4786263) : arch=x86_64 syscall=sendmsg success=yes exit=33 a0=0x14 a1=0x7fe0bb793ac0 a2=0x0 a3=0x7fe0bb7934e0 items=0 ppid=30511 pid=3022 auid=9apps-admin uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=624196 comm=host exe=/usr/bin/host key=send
Однако auditd не смог зарегистрировать никаких других DNS-запросов, хотя tcpdump обнаружил много сделанных DNS-запросов.
Почему auditd не обнаруживает DNS-запросы, исходящие от процессов, которые были запущены до того, как я создал свое правило?
TIA