Fedora 22になって/var/log/messages にauditのログがはき出されるようになりcronが走るたびにログが埋め尽くされるようになってしまいました。
なんとかする方法はないのかと調べたらありました。
Bug 1227379 – Audit events in /var/log/messages
なにやら、journalctlのためにauditのログもmessagesへはき出すような仕様にしたそうですが、強制しないでオンオフ出来るようにしてくれというユーザーとすごい言い争っているようです。もしかして違うかもしれませんが、そんなニュアンスだと思います。
一応、対策としてauditを停止してしまう方法がありました。
まずはauditの設定を確認します。
enabled 1
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000
loginuid_immutable 0 unlocked
次にauditを無効化します。
# auditctl -s
enabled 0
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000
これで/var/log/messagesへの書き込みどころか/var/log/audit/ への書き込みも停止します。この設定は一時的なので再起動しても反映されるようにします。
この2つのファイルを修正することでauditのログが消えてすっきりしますが、cronが走るたびに下記のログが流れるのは止まりません。
systemd: Reached target Sockets.
systemd: Starting Sockets.
systemd: Reached target Timers.
systemd: Starting Timers.
systemd: Reached target Basic System.
systemd: Starting Basic System.
systemd: Reached target Default.
systemd: Startup finished in 9ms.
systemd: Starting Default.
これを止めるには/etc/systemd/system.conf のLogLevelをnoticeにするといいそうですがダメでした。systemdの仕様を調べてみるとsyslogの設定に準ずるらしいのでrsyslogの設定を変えてみました。
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.notice;mail.none;authpriv.none;cron.none /var/log/messages
# systemctl restart rsyslog.service
これで余計なログが消えました。
このauditのログはjournalの仕様が確定しないと解決しなさそうです。
なにげにこれでauditを止めてもlogwatchではauditのログが出てきます。これはlogwatchが修正されないとダメなんでしょうね。
近々、Fedora23にして見ようと思います。
こんどはどんなバグが出てくるんだろうなぁ
追記:2015/11/26
logwatchにログが出てませんでした。
設定を変えて数日経ってからlogwatchを実行したらauditログが出てたので勘違いしてました。もう一日待ってから確認すればよかった。
追記: 2016/04/21
/etc/audit/rules.d/audit.rulesも編集しないとauditは完全に無効化出来ませんでした。
コメント