detener los mensajes de auditoría del kernel registrados en syslog sin deshabilitar la auditoría

tag-icon tag-icon systemd rsyslog audit auditd journald
detener los mensajes de auditoría del kernel registrados en syslog sin deshabilitar la auditoría

SO: CentOS 7

Estoy tratando de descubrir cómo kauditse registran los eventos de auditoría () /var/log/messages.

Lo he habilitado audit=1en grub, lo que significa que cuando se inicia el servidor, la auditoría del kernel está habilitada. Este es el estado deseado para el sistema en particular y deshabilitar la auditoría está fuera de la ecuación. Mi auditconfiguración es la siguiente

  #  auditctl -s
enabled 1
failure 1
pid 0
rate_limit 0
backlog_limit 64
lost 7452643
backlog 0
loginuid_immutable 0 unlocked

Auditden el otro lado está deshabilitado/detenido porque estoy usando otra herramienta para recopilar/consumir esos eventos generados por la auditoría del kernel.

Mi problema es que noté que esos eventos de auditoría están registrados /var/log/messages:

2021-11-25T00:35:09.490607-08:00 myserver.local kernel: [4272426.343673] audit: type=1110 audit(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=? res=success

Estoy tratando de descubrir cómo terminan estos mensajes /var/log/messagesy lo único de lo que estoy seguro es que syslog hará esto.

En realidad, estoy tratando de rastrear cómo terminan los eventos de auditoría rsyslogy hasta ahora no he tenido suerte. Supongo que journaldse están recuperando esos eventos de auditoría que a su vez los reenvían; rsyslogsin embargo, no puedo aclarar esto.

JournaldPuedo establecer una conexión netlink socketcon el kernel para obtener eventos de auditoría, sin embargo, no veo dicho socket presente en systemd.

 #  systemctl list-units --type=socket
UNIT                         LOAD   ACTIVE SUB       DESCRIPTION
dbus.socket                  loaded active running   D-Bus System Message Bus Socket
dm-event.socket              loaded active listening Device-mapper event daemon FIFOs
iscsid.socket                loaded active running   Open-iSCSI iscsid Socket
iscsiuio.socket              loaded active listening Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket          loaded active listening LVM2 metadata daemon socket
lvm2-lvmpolld.socket         loaded active listening LVM2 poll daemon socket
nscd.socket                  loaded active running   Name Service Cache Daemon Socket
rpcbind.socket               loaded active running   RPCbind Server Activation Socket
systemd-initctl.socket       loaded active listening /dev/initctl Compatibility Named Pipe
systemd-journald.socket      loaded active running   Journal Socket
systemd-shutdownd.socket     loaded active listening Delayed Shutdown Socket
systemd-udevd-control.socket loaded active running   udev Control Socket
systemd-udevd-kernel.socket  loaded active running   udev Kernel Socket


#  systemctl status systemd-journald-audit.socket
Unit systemd-journald-audit.socket could not be found.

Ahora, lo extraño es que si enumero netlinklos sockets en el sistema, puedo ver uno relacionado con audity systemd:

#   ss -a -f netlink|grep audit
UNCONN 0      0              audit:systemd/1                        *
UNCONN 0      0              audit:sudo/3144                        *
UNCONN 0      0              audit:kernel                           *
UNCONN 0      0              audit:sudo/14889                       *

¿Alguna idea de cómo estos registros terminan en syslog y qué/cómo audit:systemdse crea este socket?

Lo más importante es ¿cómo dejar de journaldrecopilar eventos de auditoría?

información relacionada