Перезапуск Audit вызывает Audispd перенастроить бесконечный цикл

Question

Перезапуск Audit вызывает Audispd перенастроить бесконечный цикл

Мы перезапускаем некоторые из наших служб в Debian jessie каждую ночь в 23:45 в рамках ротации лог-файлов. Среди тех сервисов, которые мы перезапускаем, auditd оказание услуг. Мы иногда видим, что audispd перезапускается в бесконечный цикл переконфигурирования:

2018-03-29T23:45:01.618252-07:00 ldap-uat0 auditd[4739]: config change requested by pid=4066 auid=0 subj=?
2018-03-29T23:45:01.618454-07:00 ldap-uat0 auditd[4739]: audit(1522392301.618:9498) config changed, auid=0 pid=4066 subj=? res=success
2018-03-29T23:45:01.618782-07:00 ldap-uat0 audispd: priority_boost_parser called with: 4
2018-03-29T23:45:01.618963-07:00 ldap-uat0 audispd: max_restarts_parser called with: 10
2018-03-29T23:45:01.619129-07:00 ldap-uat0 audispd: Starting reconfigure
2018-03-29T23:45:03.512051-07:00 ldap-uat0 audispd: plugin /usr/sbin/audisp-simplify terminated unexpectedly
2018-03-29T23:45:03.512250-07:00 ldap-uat0 audispd: plugin /usr/sbin/audisp-simplify has exceeded max_restarts
2018-03-29T23:45:03.512833-07:00 ldap-uat0 audispd: plugin /usr/sbin/audisp-simplify was restarted
2018-03-29T23:45:03.617736-07:00 ldap-uat0 auditd[4739]: config change requested by pid=4066 auid=0 subj=?
2018-03-29T23:45:03.617987-07:00 ldap-uat0 auditd[4739]: audit(1522392303.617:276) config changed, auid=0 pid=4066 subj=? res=success
2018-03-29T23:45:05.621950-07:00 ldap-uat0 audispd: priority_boost_parser called with: 4
2018-03-29T23:45:05.622391-07:00 ldap-uat0 audispd: max_restarts_parser called with: 10
2018-03-29T23:45:05.622774-07:00 ldap-uat0 audispd: Starting reconfigure
2018-03-29T23:45:05.623301-07:00 ldap-uat0 audispd: priority_boost_parser called with: 4
2018-03-29T23:45:05.623593-07:00 ldap-uat0 audispd: max_restarts_parser called with: 10
2018-03-29T23:45:05.623892-07:00 ldap-uat0 audispd: Starting reconfigure

с тремя строчками

2018-03-29T23:45:05.622774-07:00 ldap-uat0 audispd: Starting reconfigure
2018-03-29T23:45:05.623301-07:00 ldap-uat0 audispd: priority_boost_parser called with: 4
2018-03-29T23:45:05.623593-07:00 ldap-uat0 audispd: max_restarts_parser called with: 10

повторять вечно, пока диск не заполнится.

audisp Конфигурация находится в /etc/audisp/audispd.conf:

q_depth = 32767
overflow_action = IGNORE
priority_boost = 4
max_restarts = 10
name_format = HOSTNAME

0

auditd

Источник

user35042 02 апр '18 в 18:52

1 ответ

Другие вопросы по тегам auditd

Bharath Naveen 22 июн '23 в 13:07 2023-06-22 13:07 · Answer 1 · 2023-06-22 13:07

Мы устранили проблему, перезапустив команду службы аудита: systemctl restart Auditd

0

Источник

Bharath Naveen 22 июн '23 в 13:07