Por que o ausearch pula entradas?

Navegue suas respostas
3

Estou tentando usar a ferramenta ausearch search my logs de auditoria para entradas específicas.

O problema é que a maioria das entradas em audit.log parece não ser pesquisável. A pesquisa com parâmetros correspondentes geralmente retorna <no matches> , mesmo que haja uma entrada correspondente no log.

Por exemplo, aqui está uma entrada de amostra de /var/log/audit/audit.log : 

type=SYSCALL msg=audit(1440053711.929:69343): arch=c000003e syscall=59 success=yes exit=0 a0=7f2abbb5d328 a1=7f2abbb5d1a0 a2=7f2abbb5d1c0 a3=7f2abb8199d0 items=0 ppid=16908 pid=16911 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="rm" exe="/bin/rm" key=(null)

E aqui está a saída de sudo ausearch -a 69343 : 

user@host:~$ sudo ausearch -a 69343
<no matches>

O mesmo ocorre se o arquivo for especificado: 

user@host:~$ sudo ausearch -a 69343 -if /var/log/audit/audit.log
<no matches>

Isso não está limitado ao parâmetro -a : 

user@host:~$ sudo ausearch -c rm
----
time->Sat Aug 22 11:09:50 2015
type=SERVICE_START msg=audit(1440266990.836:263): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 16:52:40 2015
type=SERVICE_START msg=audit(1440287560.408:264): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 18:42:12 2015
type=SERVICE_START msg=audit(1440294132.412:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Mon Aug 24 15:13:21 2015
type=SERVICE_START msg=audit(1440454401.484:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'

(Observe que o evento em questão não está na saída.) 

user@host:~$ sudo ausearch -m SYSCALL | grep 69343
user@host:~$ sudo ausearch -p 16911
<no matches> 
user@host:~$ sudo ausearch -pp 16908
<no matches>

O que estou fazendo de errado?

EDITAR: A saída bruta de ausearch também exclui as entradas mencionadas: 

user@host:~$ sudo ausearch -r -p 16911
user@host:~$
    
por user339676 01.09.2015 / 08:03

0 respostas

Tags

Configure o mailgun como relayhost no topo do servidor de postfix existente já usando o sasl Não é possível conectar (ou gravar) um arquivo de soquete, apesar de ser proprietário?