Привет, мы используем четыре сервера Linux для приложения. Приложение просто генерирует отчеты с использованием скриптов ... Теперь для трех серверов журналы аудита создаются в каталоге / var / log / audit (как показано ниже), но для одного сервера журналы не создаются.
[root@mhedr5 logs]# ls -ltr /var/log/audit |tail
total 24748
-r--------. 1 root root 6291614 Jun 4 11:45 audit.log.4
-r--------. 1 root root 6291485 Jun 4 20:26 audit.log.3
-r--------. 1 root root 6291563 Jun 5 05:40 audit.log.2
-r--------. 1 root root 6291676 Jun 5 14:52 audit.log.1
-rw-------. 1 root root 138601 Jun 5 15:07 audit.log
Я совершенно не знаком с этой концепцией. Есть ли на сервере скрипт, который создает эти журналы? Связано ли это с каким-то отдельным скриптом или это системное свойство? Как я мог решить эту проблему? может ли кто-нибудь рассказать мне или поделиться какой-либо полезной ссылкой? дайте мне знать, если вам нужна дополнительная информация.
System info:
# lsb_release -a (server where logs are generating)
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: RedHatEnterpriseServer
Description: Red Hat Enterprise Linux Server release 6.4 (Santiago)
Release: 6.4
Codename: Santiago
Удивительно, но lsb_release -a не известна серверу, на котором журналы аудита не создаются ... Это тоже сервер redhat.
cat /etc/*-release (server where audit logs are not generating)
Red Hat Enterprise Linux Server release 6.4 (Santiago)
Red Hat Enterprise Linux Server release 6.4 (Santiago)
Для сервера 1:
# chkconfig --list auditd
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
# service auditd status
auditd (pid 4886) is running...
для сервера 2:
# chkconfig --list auditd
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
# service auditd status
auditd (pid 11165) is running...
на сервере 2:
ls -lart /var/log/audit
total 16
drwxr-x---. 2 root root 12288 Feb 19 15:00 .
drwxr-xr-x. 12 root root 4096 Jun 1 03:28 ..
auditd
- это демон пользовательского пространства, который подключается к подсистеме аудита ядра и передает эти журналы в файловую систему. Хотя все признаки указывали на то, что ваша система работает, вы обнаружили, что ее перезапуск приводил к появлению журналов на диске.
Что случилось? Кто теперь может сказать. Но вы можете извлечь из этого урок, что все демоны, которые, похоже, не работают должным образом, могут получить выгоду от удара в штаны!