主页 / server / 问题 / 778121
Accepted
2rs2ts
Asked: 2016-05-21 14:45:25 +0800 CST

如何判断 auditd 是否已暂停日志记录?

  • 772

如果您将以下内容放入您的auditd.conf,auditd将在您的磁盘上有 50MB 或更少空间时暂停日志记录:

admin_space_left = 50
admin_space_left_action = SUSPEND

外部程序(例如监控检查)如何知道是否auditd已达到此挂起状态?

(我意识到您也可以在暂停日志记录EXEC时使用该操作来做某事,auditd但这不符合我的目的。)

logging auditd

2 个回答

  1. 查看源代码(在 2.6.7 版中),除了将调试器附加到进程并使其转储logging_suspended内部变量的值之外,没有其他方法可以检索当前的“暂停”状态。

    您可以发送一条测试消息并检查它是否被记录。这样,您将检查挂起的条件以及阻止日志记录发生的任何事情。也就是说,您将验证它是否自始至终都能正常工作。

    msg="audit test $(uuidgen)" || exit # generate unique message
auditctl -m "$msg" || exit # send the unique message
sleep 1 # enough time for the message to be logged
ausearch -ts recent -m USER | grep -Fqe "$msg" && echo OK
    • 2
  2. Best Answer

    在 CentOS 系统上,当遇到各种磁盘空间限制时,我必须处理结构化...

    space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

    当包含审计日志的分区上的可用空间低于 75MB 时,这会导致向 syslog 发出此消息

    5 月 21 日 08:53:01 c6test auditd [5851]:审核守护程序的磁盘空间不足,无法进行日志记录

    同样,当空间低于 74MB 时,此消息会发送到 syslog

    5 月 21 日 08:54:01 c6test auditd[5851]:由于磁盘空间不足,审核守护程序正在暂停日志记录。

    因此,为了回答您的问题,它会向 syslog 写入一条消息,然后该消息会进入您的系统日志,因此可以将 monit 配置为查找它。

    实际消息是什么以及它被写入哪个日志文件可能取决于操作系统和/或发行版。

    • 1

相关问题