我创建了一个 AIDE 脚本,它能够监控我的主机中的文件更改,当某些文件发生更改时,它会发送有关更改的警报电子邮件。在我看来,我认为剧本没有问题。所以还是和大家分享一下吧:
这是我的 git repo 中的脚本:
为了运行这个脚本,我让 cronjob 每 20 分钟运行一次: */20 * * * * root /usr/local/bin/maxicron/aide/maxiaide cron > /dev/null
该脚本在发出警报消息方面做得很好,但最近我注意到我不断收到来自该脚本的相同电子邮件,该电子邮件具有相同的日期和时间(04-07-2020 上午 5:43),内容相同。附件大到22MB。有时我一次收到近十几封邮件。
截屏:
当我在文本编辑器中查看附件时,我在脚本“文件数据库必须有一个 db_spec 规范”的日志文件中看到以下错误:
因此,这意味着警报由于错误而没有完成脚本。
我现在禁用 cronjob 2 天,但我仍然收到这封电子邮件。另外,我检查了我没有运行此脚本的 cronjob。我检查了邮件队列exim -bp,在 exim 中没有发现邮件队列。现在,脚本没有运行,但我仍然收到这封警报电子邮件。在您看来,这封电子邮件实际上来自哪里?我如何调试电子邮件的来源,我认为它不是来自脚本,因为脚本不再运行。这太奇怪了
所有日志文件似乎都没有提供任何线索,并且由于该电子邮件的时间和日期已经过时,因此电子邮件直接进入了最后一个列表,而不是邮箱的顶部列表。
我用的是centOS 8,exim,dovecot,roundcube,apache_nginx,AIDE版本是0.16
由于来自 AIDE 的关于 db_spec 的问题,所以我发现 exim 试图重新发送大附件很多天。(我认为可能是磁盘读取的随机错误或 AIDE 读取 AIDE 数据库的方式)。AIDE 的 db_spec 错误意味着数据库是空的(但实际上不是)。AIDE 没有完成脚本并导致脚本发送大附件(没有来自 aide.conf 的任何过滤器),因此 exim 在重试发送带有大附件的电子邮件时遇到了麻烦,并且卡住了很多天。因此,我发现它位于 exim 邮件输入文件夹之一中。手动清除输入文件夹和垃圾邮件,它就消失了: