audit 是一个很重要的日志服务, 它可以帮助我们查看各种异常情况. 比如有人尝试登录然后失败了什么, 你可以在此处看到它更多的介绍. 更有用的是, 我们可以通过分析 /var/log/audit/audit.log 日志, 查看被防火墙错误屏蔽的操作, 然后贴个 patch 让系统可以正常工作.
最近突然发现 audit.log 好一些日子不正常更新了, 查看停止时间, 貌似是某次某同志错误设置了系统权限的那会儿. 服务可能既被砍掉了权限, 又被停止了运行. 监测权限的日志被停止了权限, 简直囧囧的.
RedHat 此处有介绍, 我们重启服务 auditd 即可.
sudo service auditd restart
可以发现这货继续更新起来了.
service auditd 后可以加参数如下:
- stop — 停止 auditd 服务.
- restart — 重启 auditd 服务.
- reload 或者是 force-reload — 从文件 /etc/audit/auditd.conf 中重载 auditd 服务.
- rotate — 在 /var/log/audit/ 目录下滚动更新日志.
- resume — 恢复 auditd 日志更新. 比如我们这次, 若只是暂停了更新, 但是 auditd 并没有被咔嚓掉, 可以用这个参数即可.
- condrestart 或者 try-restart — 若 auditd 已经在运行, 则重启, 否则不重启.
- status — 显示 auditd 运行状态.
若要让这个服务能开机启动, 可以执行命令如下:
sudo chkconfig auditd on
1 Comment