ОС: CentOS 7
Пытаюсь понять как аудит(каудит) события регистрируются /var/лог/сообщения.
я включил аудит=1 в grub, что означает, что при загрузке сервера включен аудит ядра. Это желаемое состояние для конкретной системы, и отключение аудита недопустимо. Мой аудит конфигурация следующая
# аудитctl -s
включено 1
провал 1
идентификатор 0
rate_limit 0
отставание_лимит 64
потерял 7452643
отставание 0
loginuid_immutable 0 разблокировано
Аудит с другой стороны отключен/остановлен, потому что я использую другой инструмент для сбора/использования этих событий, сгенерированных аудитом ядра.
Моя проблема в том, что я заметил, что эти события аудита регистрируются /var/журнал/сообщения:
2021-11-25T00:35:09.490607-08:00 ядро myserver.local: [4272426.343673] аудит: тип=1110 аудит(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=429549672 PAM:setcred Grantors=pam_env,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? адрес=? терминал =? разрешение = успех
Я пытаюсь понять, как эти сообщения попадают в /var/журнал/сообщения и единственное, в чем я уверен, так это в том, что syslog сделает это.
На самом деле, я пытаюсь проследить, как события аудита заканчиваются в rsyslog и пока мне не повезло. У меня есть предположение, что журнал извлекает эти события аудита, которые, в свою очередь, пересылают их rsyslog однако я не могу это прояснить.
Журнал может установить сетевой сокет с ядром для получения событий аудита, однако я не вижу такого сокета в systemd.
# systemctl list-units --type=socket
ЕДИНИЧНАЯ НАГРУЗКА АКТИВНА ПОД ОПИСАНИЕ
dbus.socket загружен, активен, работает D-Bus System Message Bus Socket
dm-event.socket загружает активное прослушивание FIFO демона событий Device-mapper
iscsid.socket загружен, активен, работает Open-iSCSI iscsid Socket
iscsiuio.socket загружено активное прослушивание Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket загружает активный прослушивающий сокет демона метаданных LVM2
lvm2-lvmpolld.socket загружает активный прослушивающий сокет демона опроса LVM2
nscd.socket загружен, активен, работает, сокет демона кэширования службы имен
rpcbind.socket загружен, активен, запущен RPCbind Server Activation Socket
systemd-initctl.socket загружено активное прослушивание /dev/initctl Совместимость с именованным каналом
systemd-journald.socket загружен, активен, работает сокет журнала
systemd-shutdownd.socket загружено активное прослушивание Сокет с отложенным завершением работы
systemd-udevd-control.socket загружен, активен, работает udev Control Socket
systemd-udevd-kernel.socket загружен, активен, работает udev Kernel Socket
# статус systemctl systemd-journald-audit.socket
Не удалось найти модуль systemd-journald-audit.socket.
Теперь странно то, что если я перечислю сетевая ссылка сокетов в системе, я вижу один, связанный с аудит и системад :
# ss -a -f netlink|grep аудит
UNCONN 0 0 аудит: systemd/1 *
UNCONN 0 0 аудит:sudo/3144 *
UNCONN 0 0 аудит: ядро *
UNCONN 0 0 аудит:sudo/14889 *
Любая идея, как эти журналы попадают в системный журнал и что/как это аудит:системд сокет создан?
Главное, как перестать журнал сбор событий аудита?
