audit - 奇怪的审计日志条目
问题描述
在 RHEL 7.2 服务器上运行的进程之一(进程名称:billsrv)在收到 kill -9 命令后随机终止。我使用审计日志来确定谁在发送 kill -9 命令:首先我手动杀死了它。在审计文件中,我得到以下信息:
*Nov 26 19:09:05 coscms1 audispd: node=coscms1 type=SYSCALL msg=audit(1543252145.658:639488):
arch=c000003e syscall=62 success=yes exit=0 a0=2b88 a1=12 a2=2b88 a3=2b88 items=0
ppid=16150 pid=16151 auid=400 uid=400 gid=400 euid=400 suid=400 fsuid=400 egid=400 sgid=400 fsgid=400 tty=pts4
ses=89169 comm="ksh" exe="/usr/bin/ksh93" key="kill_signals"*
然后过了一段时间, billsrv 进程被杀死,我在审计文件中得到了以下内容:
Nov 26 20:10:28 coscms1 audispd: node=coscms1 type=SYSCALL msg=audit(1543255828.282:642321):
arch=c000003e syscall=62 success=yes exit=0 a0=5ceb a1=9 a2=5ceb a3=7f3e8dd23cf0 items=0
ppid=29836 pid=23796 auid=400 uid=400 gid=400 euid=400 suid=400 fsuid=400 egid=400 sgid=400 fsgid=400 tty=(none)
ses=89169 comm="billsrv" exe="/users/cms/bin/billsrv" key="kill_signals"
以上是否意味着该进程杀死了自己?(!!!)
解决方案
我的进程收到了来自 oracle 12 客户端的终止信号(!) https://community.oracle.com/thread/3567492 我们在客户端级别禁用了“诊断框架”,一切看起来都正常。
推荐阅读
- ruby - Ruby 中包含类的待办事项列表
- python - 停止在 spyder 中显示图
- twitter-bootstrap - 如何在引导轮播指示器上创建循环进度计时器
- graphql - GraphQL:是否可以搜索嵌套字段?
- android - “未解决的参考:配对”使用 Kotlin 和 Robolectric
- c++ - 成员变量能否访问同一初始化列表 (C++) 中先前定义的成员变量的值?
- stored-procedures - 使用 PROC REPORT 的 SAS 数据表
- oracle - 在 Oracle 中执行过程
- c# - 实体框架 EDMX 多重性无效?
- delphi - 当还没有添加子节点时,有没有办法显示 TTreeNode 的 > 符号?