ระบบปฏิบัติการ: CentOS 7
ฉันกำลังพยายามหาวิธีการตรวจสอบ (ตรวจสอบ) เข้าสู่ระบบเหตุการณ์ /var/log/messages.
ฉันได้เปิดใช้งาน การตรวจสอบ=1 ใน grub ซึ่งหมายถึงเมื่อเซิร์ฟเวอร์บูท การตรวจสอบเคอร์เนลจะเปิดใช้งาน นี่เป็นสถานะที่ต้องการสำหรับระบบเฉพาะและการปิดใช้งานการตรวจสอบนั้นไม่อยู่ในสมการ ของฉัน การตรวจสอบ การกำหนดค่ามีดังนี้
#auditctl -s
เปิดใช้งาน 1
ความล้มเหลว 1
ปิด 0
อัตรา_จำกัด 0
backlog_limit64
เสีย 7452643
งานค้าง 0
loginuid_immutable 0 ปลดล็อค
ตรวจสอบแล้ว อีกด้านหนึ่งถูกปิดใช้งาน/หยุดทำงาน เนื่องจากฉันใช้เครื่องมืออื่นเพื่อรวบรวม/ใช้งานเหตุการณ์เหล่านั้นที่สร้างโดยการตรวจสอบเคอร์เนล
ปัญหาของฉันคือฉันสังเกตเห็นว่ากิจกรรมการตรวจสอบเหล่านั้นถูกเข้าสู่ระบบ /var/log/messages:
2021-11-25T00:35:09.490607-08:00 เคอร์เนล myserver.local: [4272426.343673] การตรวจสอบ: type=1110 การตรวจสอบ(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=4294ms6'op= PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/bin/sudo" ชื่อโฮสต์=? แอดเดอร์=? ขั้ว=? ความละเอียด = ความสำเร็จ
ฉันกำลังพยายามหาว่าข้อความเหล่านี้ลงเอยอย่างไร /var/log/messages และสิ่งเดียวที่ฉันแน่ใจก็คือ syslog จะทำเช่นนี้
ที่จริงฉันกำลังพยายามติดตามว่าเหตุการณ์การตรวจสอบจบลงอย่างไร rsyslog และจนถึงตอนนี้ฉันก็ไม่มีโชค ฉันมีข้อสันนิษฐานว่า วารสาร กำลังดึงข้อมูลเหตุการณ์การตรวจสอบซึ่งจะส่งต่อไปยัง rsyslog อย่างไรก็ตาม ฉันไม่สามารถชี้แจงเรื่องนี้ได้
สมุดรายวัน สามารถสร้าง ซ็อกเก็ตเน็ตลิงค์ ด้วยเคอร์เนลเพื่อรับกิจกรรมการตรวจสอบ แต่ฉันไม่เห็นซ็อกเก็ตดังกล่าวอยู่ใน systemd
# systemctl รายการหน่วย --type=socket
หน่วย โหลด แอคทีฟ คำอธิบายย่อย
dbus.socket โหลดใช้งานอยู่ กำลังเรียกใช้ D-Bus System Message Bus Socket
dm-event.socket โหลดการฟังที่ใช้งานอยู่ Device-mapper เหตุการณ์ daemon FIFO
iscsid.socket โหลดใช้งาน Open-iSCSI iscsid Socket
iscsiuio.socket โหลดการฟังที่ใช้งานอยู่ Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket โหลดซ็อกเก็ต daemon ข้อมูลเมตา LVM2 ที่ใช้งานอยู่
lvm2-lvmpolld.socket โหลดซ็อกเก็ต daemon การสำรวจความคิดเห็น LVM2 ที่ใช้งานอยู่
nscd.socket โหลด Active Name Service Cache Daemon Socket
rpcbind.socket โหลดที่ใช้งานอยู่ซึ่งกำลังเรียกใช้ซ็อกเก็ตการเปิดใช้งานเซิร์ฟเวอร์ RPCbind
systemd-initctl.socket โหลดการฟังที่ใช้งานอยู่ /dev/initctl Compatibility Named Pipe
systemd-journald.socket โหลดที่ใช้งานอยู่ใน Journal Socket
systemd-shutdownd.socket โหลดการฟังที่ใช้งานอยู่ ซ็อกเก็ตการปิดระบบล่าช้า
systemd-udevd-control.socket โหลดใช้งาน udev Control Socket
systemd-udevd-kernel.socket โหลดใช้งาน udev Kernel Socket
# สถานะ systemctl systemd-journald-audit.socket
ไม่พบ unit systemd-journal-audit.socket
สิ่งที่แปลกคือถ้าฉันแสดงรายการ เน็ตลิงค์ ซ็อกเก็ตในระบบ ฉันสามารถเห็นหนึ่งที่เกี่ยวข้องกับ การตรวจสอบ และ ระบบ :
# ss -a -f netlink|การตรวจสอบ grep
การตรวจสอบ UNCONN 0 0:systemd/1 *
การตรวจสอบ UNCONN 0 0:sudo/3144 *
การตรวจสอบ UNCONN 0 0:เคอร์เนล *
การตรวจสอบ UNCONN 0 0:sudo/14889 *
ความคิดใด ๆ ที่บันทึกเหล่านี้จบลงที่ syslog และอะไร / อย่างไร การตรวจสอบ: systemd ซ็อกเก็ตถูกสร้างขึ้น?
ที่สำคัญที่สุด วิธีหยุด วารสาร รวบรวมกิจกรรมการตรวจสอบ?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
