linux – Auditd在audit.log中显示重复的行

概述我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文： type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash" 这是相关的配置： log_file = /var/lo 我遇到的问题是auditd似乎记录了两次相同的消息,例如见下文：

type=execvE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"type=execvE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"

这是相关的配置：

log_file = /var/log/audit/audit.loglog_format = RAWlog_group = rootpriority_boost = 4flush = incrementalfreq = 20num_logs = 3disp_qos = lossydispatcher = /sbin/audispd@R_403_6889@_format = none@R_403_6889@ = lga-tag06max_log_file = 1024max_log_file_action = rotatespace_left = 75space_left_action = syslogaction_mail_acct = rootadmin_space_left = 50admin_space_left_action = suspenddisk_full_action = suspenddisk_error_action = suspendtcp_Listen_queue = 5tcp_max_per_addr = 1tcp_clIEnt_max_IDle = 0enable_krb5 = nokrb5_principal = auditd

和相关规则：

# Default Rule - Delete ALL-Denter code here# Set Buffer size - increase for Busy Systems-b 8192enter code here# Puppet Managed Custom rules begin here:-b 320-D-a exclude,never -F msgtype=PATH -a exclude,never -F msgtype=BPRM_FCAPS -a exclude,never -F msgtype=CRED_disP-a exit,always -F arch=b32 -F euID>=0 -S execve-a exit,always -F arch=b64 -F euID>=0 -S execve

好奇,如果有人之前见过这个或有任何建议吗？

解决方法 我不能肯定地说,但在您将评论中所要求的信息添加到您的问题之前,我将使用以下内容：

Note / Update: This extends to the bounty. Although the comment
regarding the extra lines doesn’t apply,the remaining questions
about distribution and versions do.

您可能会遇到red hat’s tracker和systemd github中报告的错误,该错误表明auditd和systemd的journald之间存在问题.

建议的解决方案是禁用期刊的审计支持：

systemctl mask systemd-journald-audit.socket

在尝试之前,请阅读上面的链接问题并采取所有必要的考虑因素.

总结

以上是内存溢出为你收集整理的linux – Auditd在audit.log中显示重复的行全部内容，希望文章能够帮你解决linux – Auditd在audit.log中显示重复的行所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。