Os logs de auditoria não estão sendo gerados na máquina linux

2

Oi Estamos usando quatro servidores linux para no aplicativo. O aplicativo simplesmente gera relatórios usando scripts ... Agora, para três servidores, logs de auditoria estão sendo gerados no diretório / var / log / audit (como abaixo), mas para um servidor nenhum registro está sendo gerado.

[root@mhedr5 logs]# ls -ltr /var/log/audit |tail
total 24748
-r--------. 1 root root 6291614 Jun  4 11:45 audit.log.4
-r--------. 1 root root 6291485 Jun  4 20:26 audit.log.3
-r--------. 1 root root 6291563 Jun  5 05:40 audit.log.2
-r--------. 1 root root 6291676 Jun  5 14:52 audit.log.1
-rw-------. 1 root root  138601 Jun  5 15:07 audit.log

Eu estou totalmente inconsciente desse conceito. Existe algum script em execução no servidor que cria esses logs? Está relacionado a algum script separado ou é uma propriedade do sistema? Como eu poderia solucionar esse problema? Alguém poderia me dizer ou compartilhar algum link útil? por favor, deixe-me saber se você precisar de mais informações.

System info:
# lsb_release -a  (server where logs are generating)
LSB Version:    :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: RedHatEnterpriseServer
Description:    Red Hat Enterprise Linux Server release 6.4 (Santiago)
Release:        6.4
Codename:       Santiago

Surpreendentemente, lsb_release -a não é um comando conhecido para o servidor no qual os logs de auditoria não estão sendo gerados ... No entanto, ele também é um servidor redhat.

cat /etc/*-release    (server where audit logs are not generating)
Red Hat Enterprise Linux Server release 6.4 (Santiago)
Red Hat Enterprise Linux Server release 6.4 (Santiago) 

Para o servidor 1:

# chkconfig --list auditd
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
# service auditd status
auditd (pid  4886) is running...

para o servidor 2:

# chkconfig --list auditd
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
# service auditd status
auditd (pid  11165) is running...

no servidor 2:

ls -lart /var/log/audit
total 16
drwxr-x---.  2 root root 12288 Feb 19 15:00 .
drwxr-xr-x. 12 root root  4096 Jun  1 03:28 ..
    
por user2611539 05.06.2015 / 12:28

1 resposta

0

auditd é o daemon do espaço de usuário que se conecta ao subsistema de auditoria do kernel e transfere esses logs para o sistema de arquivos. Apesar de todos os sinais serem seus, você descobriu que o reinício fez com que os logs começassem a aparecer no disco.

O que estava errado? Quem pode dizer agora? Mas você pode querer tirar desta lição que todos os daemons que não parecem estar funcionando bem podem se beneficiar de um chute nas calças!

    
por 05.06.2015 / 13:41

Tags