已审核在 audit.log 中显示重复行

Posted 2023-02-22

【中文标题】已审核在 audit.log 中显示重复行

【英文标题】：Auditd showing duplicate lines in audit.log

【发布时间】：2017-05-25 20:01:25

【问题描述】：

我遇到了一个问题，auditd 似乎两次记录了同一条消息，请参见下面的示例：

type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"
type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="/bin/bash"

这里是相关配置：

log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = incremental
freq = 20
num_logs = 3
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = none
name = lga-tag06
max_log_file = 1024
max_log_file_action = rotate
space_left = 75
space_left_action = syslog
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = suspend
disk_full_action = suspend
disk_error_action = suspend
tcp_listen_queue = 5

tcp_max_per_addr = 1
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd

及相关规则：

# Default Rule - Delete ALL
-D
enter code here
# Set Buffer size - increase for Busy Systems
-b 8192
enter code here
# Puppet Managed Custom rules begin here:
-b 320
-D
-a exclude,never -F msgtype=PATH 
-a exclude,never -F msgtype=BPRM_FCAPS 
-a exclude,never -F msgtype=CRED_DISP
-a exit,always -F arch=b32 -F euid>=0 -S execve
-a exit,always -F arch=b64 -F euid>=0 -S execve

想知道是否有人以前看过此内容或有任何建议？

【问题讨论】：

Hm.. 你能检查“lsof /var/log/audit/audit.log”来检查有多少 auditd 使用这个文件，我知道这看起来很荒谬.. 但真的没有更多没有更多信息的操作。

你好。一些让您更好地提问的 cmets：（1）我假设规则中的 enter code here 行是复制/粘贴错误？或者您在规则文件中有这些行？ (2) 请包含您的发行版名称和版本 (3) 包含审核版本

【参考方案1】：

我不能肯定地说，但在您将我在评论中要求的信息添加到您的问题之前，我将使用以下内容：

注意/更新：这延伸到赏金。虽然评论 关于额外的行不适用，剩下的问题 关于分发和版本。

您可能遇到了在red hat's tracker 和systemd github 中报告的错误，这表明auditd 之间存在问题和 systemd 的日志。

建议的解决方案是禁用日志的审计支持：

systemctl mask systemd-journald-audit.socket

在尝试之前，请阅读上面的链接问题并考虑所有必要的事项。