停止在 syslog 中記錄核心審核訊息而不停用審核

tag-icon tag-icon systemd rsyslog audit auditd journald
停止在 syslog 中記錄核心審核訊息而不停用審核

作業系統:CentOS 7

我試著弄清楚audit( kaudit) 事件是如何被記錄下來的/var/log/messages

我已audit=1在 grub 中啟用,這表示當伺服器啟動時,會啟用核心審核。這是特定係統所需的狀態,禁用審核是不可能的。我的audit配置如下

  #  auditctl -s
enabled 1
failure 1
pid 0
rate_limit 0
backlog_limit 64
lost 7452643
backlog 0
loginuid_immutable 0 unlocked

Auditd另一側被禁用/停止,因為我正在使用另一個工具來收集/使用內核審計生成的那些事件。

我的問題是我注意到這些審核事件已記錄/var/log/messages

2021-11-25T00:35:09.490607-08:00 myserver.local kernel: [4272426.343673] audit: type=1110 audit(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=? res=success

我試圖弄清楚這些訊息是如何結束的/var/log/messages,我唯一確定的是 syslog 會執行此操作。

實際上,我正在嘗試追蹤審計事件是如何結束的rsyslog,但到目前為止我還沒有運氣。我有一個假設是journald獲取這些審計事件,然後將它們轉發給rsyslog但是,我無法澄清這一點。

Journaldnetlink socket可以與核心建立一個來獲取審核事件,但是我在 systemd 中沒有看到這樣的套接字。

 #  systemctl list-units --type=socket
UNIT                         LOAD   ACTIVE SUB       DESCRIPTION
dbus.socket                  loaded active running   D-Bus System Message Bus Socket
dm-event.socket              loaded active listening Device-mapper event daemon FIFOs
iscsid.socket                loaded active running   Open-iSCSI iscsid Socket
iscsiuio.socket              loaded active listening Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket          loaded active listening LVM2 metadata daemon socket
lvm2-lvmpolld.socket         loaded active listening LVM2 poll daemon socket
nscd.socket                  loaded active running   Name Service Cache Daemon Socket
rpcbind.socket               loaded active running   RPCbind Server Activation Socket
systemd-initctl.socket       loaded active listening /dev/initctl Compatibility Named Pipe
systemd-journald.socket      loaded active running   Journal Socket
systemd-shutdownd.socket     loaded active listening Delayed Shutdown Socket
systemd-udevd-control.socket loaded active running   udev Control Socket
systemd-udevd-kernel.socket  loaded active running   udev Kernel Socket


#  systemctl status systemd-journald-audit.socket
Unit systemd-journald-audit.socket could not be found.

現在奇怪的是,如果我列出netlink系統中的套接字,我可以看到與audit和相關的套接字systemd

#   ss -a -f netlink|grep audit
UNCONN 0      0              audit:systemd/1                        *
UNCONN 0      0              audit:sudo/3144                        *
UNCONN 0      0              audit:kernel                           *
UNCONN 0      0              audit:sudo/14889                       *

知道這些日誌如何最終到達系統日誌以及該audit:systemd套接字是如何創建的嗎?

最重要的是,如何停止journald收集審計事件?

相關內容