Я нашел эту ошибку на веб-сайте Debian, который был объединен с этим. Однако они, действительно кажется, старше, чем проблема, которую Вы только что нашли.
Кроме того, от Wiki Debian на udev Вы можете смотреть на / исправляют init сценарии для него.
Из связанного обсуждения Ubuntu кажется, что это было зафиксировано, по крайней мере, там.
Не уверенный, если они помогут/устранят Вам проблема, но возможно они находятся в правильном направлении :)
Править: 17.11.14
Этот ответ может все еще работать, но в 2014, использование плагина Audisp является лучшим ответом.
Если Вы выполняете запас ksyslogd сервер системного журнала, я не знаю, как сделать это. Но существуют большие инструкции для того, чтобы сделать его с rsyslog в их Wiki. (http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)
Я подведу итог:
На передающем клиенте (rsyslog.conf
):
#
auditd audit.log
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
Обратите внимание что imfile
модуль должен будет быть загружен ранее в rsyslog конфигурации. Это - строка, ответственная за это:
$ModLoad imfile
Так проверяют, находится ли это в Вашем rsyslog.conf
файл. Если это не там, добавьте его под ### MODULES ###
раздел для включения этого модуля; иначе вышеупомянутая конфигурация для входа auditd не будет работать.
На сервере получения (rsyslog.conf
):
$template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log" local6.*
Перезапустите сервис (service rsyslog restart
) на обоих хостах и необходимо начать получать auditd
сообщения.
Вы можете напрямую войти в системный журнал, используя audisp, это часть пакета аудита. В Debian (я еще не пробовал в других дистрибутивах) отредактируйте:
/etc/audisp/plugins.d/syslog.conf
и установите active = yes
.
Самый безопасный и правильный метод - использовать подключаемый модуль системного журнала audispd и / или audisp-remote .
Чтобы быстро заставить его работать вы можете редактировать /etc/audisp/plugins.d/syslog.conf. RHEL включает это по умолчанию, хотя и отключено. Вам нужно изменить только одну строку, чтобы включить его, active = yes .
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
Но по умолчанию это не очень безопасно; syslog - это небезопасный протокол в своей основе, незашифрованный, не прошедший проверку подлинности и в своей исходной спецификации UDP совершенно ненадежный. Он также хранит много информации в небезопасных файлах. Система аудита Linux обрабатывает более конфиденциальную информацию, чем обычно отправляется в системный журнал, поэтому она разделена. audisp-remote также обеспечивает аутентификацию и шифрование Kerberos, поэтому он хорошо работает в качестве безопасного транспорта. Используя audisp-remote, вы отправляете сообщения аудита с помощью audispd на удаленный сервер audisp, работающий на вашем центральном сервере системного журнала. Затем audisp-remote будет использовать подключаемый модуль audispd syslog для передачи их в dameon syslog.
Но есть и другие методы! rsyslog очень надежен! rsyslog также предлагает шифрование Kerberos и TLS. Просто убедитесь, что он настроен безопасно.