fragen stichworte

Wie können Sie feststellen, ob auditd die Protokollierung ausgesetzt hat?

Wenn Sie Folgendes in Ihr auditd.conf einfügen, wird die Protokollierung von auditd angehalten, wenn der Speicherplatz auf Ihrer Festplatte 50 MB oder weniger beträgt:

admin_space_left = 50
admin_space_left_action = SUSPEND

Wie kann ein externes Programm, z. eine Überwachungsprüfung, wissen Sie, ob auditd diesen ausgesetzten Status erreicht hat?

(Ich weiß, dass Sie die Aktion EXEC auch verwenden können, um etwas zu tun, wenn auditd die Protokollierung ausstellt, dies aber nicht für meine Zwecke geeignet ist.)

antworten

Beim Betrachten des Quellcodes (in Version 2.6.7) gibt es keine Möglichkeit, den aktuellen Status "suspended" abzurufen, außer dass ein Debugger an den Prozess angehängt wird und der Wert der internen Variable logging_suspended ausgegeben wird.

Sie können eine Testnachricht senden und prüfen, ob sie protokolliert wird. Auf diese Weise würden Sie nach der Bedingung suspended suchen, aber auch nach allem, was die Protokollierung verhindert. Das heißt, Sie würden bestätigen, dass es bis zum Ende funktioniert.

msg="audit test $(uuidgen)" || exit # generate unique message
auditctl -m "$msg" || exit # send the unique message
sleep 1 # enough time for the message to be logged
ausearch -ts recent -m USER | grep -Fqe "$msg" && echo OK

Auf einem CentOS-System muss ich das, was zu tun ist, wenn verschiedene Speicherplatzbeschränkungen getroffen werden, strukturieren ...

space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

Dies führt dazu, dass diese Nachricht an syslog ausgegeben wird, wenn der freie Speicherplatz auf der Partition mit dem Überwachungsprotokoll unter 75 MB sinkt.

May 21 08:53:01 c6test auditd[5851]: Audit daemon is low on disk space for logging

Wenn die Leerstelle 74 MB unterschreitet, wird diese Nachricht an syslog

ausgegeben  

May 21 08:54:01 c6test auditd[5851]: Audit daemon is suspending logging due to low disk space.

Um Ihre Frage zu beantworten, schreibt sie eine Nachricht an syslog, die dann in Ihre Systemprotokolle gelangt, damit monit so konfiguriert werden kann, dass Sie danach suchen.

Was die eigentliche Nachricht ist und in welche Log-Datei sie geschrieben wird, hängt wahrscheinlich von OS und/oder Distro ab.