audit 是一个很重要的日志服务, 它可以帮助我们查看各种异常情况. 比如有人尝试登录然后失败了什么, 你可以在此处看到它更多的介绍. 更有用的是, 我们可以通过分析 /var/log/audit/audit.log 日志, 查看被防火墙错误屏蔽的操作, 然后贴个 patch 让系统可以正常工作.

最近突然发现 audit.log 好一些日子不正常更新了, 查看停止时间, 貌似是某次某同志错误设置了系统权限的那会儿. 服务可能既被砍掉了权限, 又被停止了运行. 监测权限的日志被停止了权限, 简直囧囧的.

RedHat 此处有介绍, 我们重启服务 auditd 即可.

sudo service auditd restart

可以发现这货继续更新起来了.

service auditd 后可以加参数如下:

  • stop — 停止 auditd 服务.
  • restart — 重启 auditd 服务.
  • reload 或者是 force-reload — 从文件 /etc/audit/auditd.conf 中重载 auditd 服务.
  • rotate — 在 /var/log/audit/ 目录下滚动更新日志.
  • resume — 恢复 auditd 日志更新. 比如我们这次, 若只是暂停了更新, 但是 auditd 并没有被咔嚓掉, 可以用这个参数即可.
  • condrestart 或者 try-restart — 若 auditd 已经在运行, 则重启, 否则不重启.
  • status — 显示 auditd 运行状态.

若要让这个服务能开机启动, 可以执行命令如下:

sudo chkconfig auditd on
来自的你,很高兴你能看到这儿。若本文对你有所用处,或者内容有什么不足之处,敬请毫不犹豫给个回复。谢谢!