3 votes

Richard Collette avatar

Linux audit - exclure un processus qui met à jour l'heure

Demandé el 1 de Juin, 2012
Quand la question a-t-elle été
1531 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai configuré mes règles auditd pour enregistrer lorsque l'heure du système est modifiée

Cependant, nos serveurs sont des machines virtuelles et ont donc des problèmes avec le décalage horaire. Nous devions résoudre ce problème, c'est pourquoi nous avons utilisé un outil VMware pour synchroniser régulièrement l'heure.

Mon problème maintenant est que mes journaux d'audit sont submergés d'entrées de changement d'heure comme celle-ci :

Jun  1 15:08:39 ***** audispd: node=****** type=SYSCALL
msg=audit(1338559719.053:344291):
arch=c000003e syscall=159 success=yes exit=5 a0=7ffff2084050 a1=0 a2=144b
a3=485449575f4c4c55 items=0 ppid=1 pid=1348 auid=4294967295 uid=0 gid=0 
euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 
comm="vmtoolsd" exe="/usr/lib/vmware-tools/bin64/appLoader" key="time_change"

Comment puis-je exclure cet outil VMware de l'audit, tout en capturant toujours le changement d'heure par un utilisateur ?

Voici mes règles d'audit actuelles pour enregistrer les changements d'heure :

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -k time_change
-a always,exit -F arch=b32 -S clock_settime -k time_change
Demandé el 1 de Juin, 2012 par Richard Collette

Réponse

Trop de publicités?

1voto

Mikko Rantalainen avatar
Mikko Rantalainen Points 778

Si j'ai bien compris, vous surveillez les événements de changement de temps du noyau. Je ne vois aucune méthode directe pour empêcher un seul outil d'apparaître dans les journaux, mais j'ai deux solutions possibles :

  1. Filtrez simplement le journal avant de consulter le journal d'audit. Perl ou awk sont vos amis, ou
  2. Utilisez un script personnalisé (par exemple dans /etc/cron.d/) qui désactive l'audit du temps, met à jour l'heure, puis réactive l'audit du temps.

Sauf si vos journaux sont trop gros pour le dispositif de stockage que vous utilisez, je préférerais la première option car elle conserve un journal d'audit complet et vous supprimez simplement les parties qui ne vous intéressent pas au moment où vous consultez le journal d'audit. Ces modifications automatiques de l'heure font partie de la réalité et peuvent être nécessaires pour interpréter les horodatages dans le journal d'audit en cas de dérive importante de l'heure près d'un événement d'audit intéressant (espérons que votre logiciel d'ajustement de l'heure enregistre la quantité d'heure ajustée afin de pouvoir ensuite resynchroniser manuellement l'heure dans les journaux, si nécessaire).

Répondu el 25 de Juin, 2012 par Mikko Rantalainen (778 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X