Auditd está escrevendo muito para logs

1

Eu recentemente tentei usar o auditd para encontrar o que está criando arquivos tmp em um sistema operacional CentOS 5 x64. Eu removi as regras:

# auditctl -l
No rules

mas há muita escrita nos logs auditd. Se eu verificar os logs usando ssh:

# watch ls -la /var/log/audit/

auditd escreve 2kb / s. Se eu verificar com o samba - ele gira 5MB arquivo de log a cada segundo. Se eu verificá-lo via ssh e usar o samba para abrir um diretório - ele grava 1 MB cada vez que eu abro um diretório. Estou comparando isso ao meu servidor do CentOS 6 que não grava em logs enquanto os verifico via ssh. Só escreve quando faço login / logout via ssh.

Eu não mudei a configuração.

Atualização : após a reinicialização do servidor, o auditd não está mais gravando tantos dados. Ainda escreve algo, mas não inunda. Aqui está o que está escrevendo agora:

type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

E não há regras - auditctl -l não mostra nada. Existe alguma coisa além das regras que podem fazer com que o auditd escreva nos logs?

    
por NickSoft 13.11.2015 / 12:25

1 resposta

0

Você reiniciou o serviço auditd? /etc/init.d/auditd restart ou service auditd restart

Quais eventos estão sendo criados nos arquivos /var/log/audit/audit.log?

    
por 15.11.2015 / 02:07