Hệ điều hành: CentOS 7
Tôi đang cố gắng tìm hiểu cách kiểm toán (thanh tra) sự kiện được đăng nhập /var/log/tin nhắn.
tôi đã kích hoạt kiểm toán = 1 trong grub, có nghĩa là khi máy chủ khởi động, tính năng kiểm tra kernel được bật. Đây là trạng thái mong muốn đối với hệ thống cụ thể và việc vô hiệu hóa kiểm toán nằm ngoài phương trình. Của tôi kiểm toán cấu hình như sau
# kiểm toánctl -s
đã bật 1
thất bại 1
pid 0
tỷ lệ_giới hạn 0
tồn đọng_limit 64
mất 7452643
tồn đọng 0
loginuid_immutable 0 đã được mở khóa
đã kiểm toán ở phía bên kia bị vô hiệu hóa/dừng vì tôi đang sử dụng một công cụ khác để thu thập/tiêu thụ các sự kiện do kiểm tra hạt nhân tạo ra.
Vấn đề của tôi là tôi nhận thấy những sự kiện kiểm tra đó được đăng nhập /var/log/tin nhắn:
25-11-2021T00:35:09.490607-08:00 nhân myserver.local: [4272426.343673] kiểm toán: type=1110 kiểm toán(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=4294967295 PAM:setcred Grantors=pam_env,pam_unix acct="root" exe="/usr/bin/Sudo" tên máy chủ=? thêm =? thiết bị đầu cuối =? res=thành công
Tôi đang cố gắng tìm hiểu làm thế nào những tin nhắn này kết thúc trong /var/log/tin nhắn và điều duy nhất tôi chắc chắn là syslog sẽ làm được điều này.
Trên thực tế, tôi đang cố gắng theo dõi xem các sự kiện kiểm toán kết thúc như thế nào trong rsyslog và cho đến nay tôi đã không có may mắn. tôi có một giả định rằng nhật ký đang tìm nạp các sự kiện kiểm toán đó để lần lượt chuyển tiếp chúng tới rsyslog tuy nhiên, tôi không thể làm rõ điều này.
nhật ký có thể thành lập một ổ cắm mạng với kernel để nhận các sự kiện kiểm toán, tuy nhiên tôi không thấy ổ cắm như vậy có trong systemd.
# systemctl list-units --type=socket
TẢI ĐƠN VỊ HOẠT ĐỘNG MÔ TẢ SUB
dbus.socket được tải đang hoạt động đang chạy Ổ cắm xe buýt thông báo hệ thống D-Bus
dm-event.socket đã tải đang nghe tích cực Trình ánh xạ thiết bị daemon sự kiện FIFO
iscsid.socket được tải đang hoạt động đang chạy Ổ cắm iscsid Open-iSCSI
iscsiuio.socket được tải hoạt động lắng nghe Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket được tải ổ cắm daemon siêu dữ liệu LVM2 đang nghe
lvm2-lvmpolld.socket được tải ổ cắm daemon thăm dò LVM2 đang nghe tích cực
nscd.socket được tải đang hoạt động đang chạy Ổ cắm daemon bộ nhớ cache dịch vụ tên
rpcbind.socket được tải đang hoạt động đang chạy Ổ cắm kích hoạt máy chủ RPCbind
systemd-initctl.socket đã tải hoạt động nghe /dev/initctl Khả năng tương thích Named Pipe
systemd-journald.socket được tải đang hoạt động chạy Tạp chí Ổ cắm
systemd-shutdownd.socket đã tải hoạt động lắng nghe Ổ cắm tắt máy bị trì hoãn
systemd-udevd-control.socket được tải đang chạy ổ cắm điều khiển udev
systemd-udevd-kernel.socket được tải đang chạy udev Kernel Socket
# trạng thái systemctl systemd-journald-audit.socket
Không thể tìm thấy đơn vị systemd-journald-audit.socket.
Bây giờ điều kỳ lạ là nếu tôi liệt kê liên kết mạng ổ cắm trong hệ thống, tôi có thể thấy một ổ cắm liên quan đến kiểm toán và hệ thống :
# ss -a -f netlink|kiểm tra grep
UNCONN 0 0 kiểm tra:systemd/1 *
UNCONN 0 0 kiểm toán:sudo/3144 *
UNCONN 0 0 kiểm toán: kernel *
UNCONN 0 0 kiểm toán:sudo/14889 *
Bất kỳ ý tưởng làm thế nào những bản ghi này kết thúc với nhật ký hệ thống và cái gì/làm thế nào điều này kiểm toán: systemd ổ cắm được tạo ra?
Quan trọng nhất, làm thế nào để dừng lại nhật ký tập hợp các sự kiện kiểm toán?
