linuxauditlog分析_如何查看linux系统警告日志

⑴ linux的audit.log日志审计怎么断定被黑客入侵了

这里首先介绍来auditctl的自应用，具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为，获取audit系统状态，添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数：
-s 或者auditd 状态 auditctl -s 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0

⑵ 如何查看linux系统下的各种日志文件 linux 系统日志的分析大全

一般两种类型日志: 永久日志rsyslog 临时日志system.journald
临时日志查看journalctl -f 参数可追踪实时日志
永久日志保存在/etc/log 目录下，通过修改/etc/rsyslog.conf参数可定义不同日志的输出路径
配置路径格式：设备名 . 优先级；例外路径
例如 *.info;mail.none;authpriv.none;cron.none /var/log/messages
表示的是：所有日志优先级在info以上包含info 除去mail authpriv cron的日志保存在/var/log/messages中
常用日志
message 系统信息日志
sercue 安全审计日志
Boot.log 系统启动日志
dmesg 硬件检测日志（此日志只能用dmesg命令查看）
yum.log 所有通过yum安装的软件的安装日志
wtmp 用户登录登出记录（用last查看）
查看日志可用cat 或者 more 命令

⑶ linux日志 audit

我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息，但是对于用户的操作行为（如某用户修改删除了某文件）却无法通过这些日志文件来查看，如果我们想实现监管企业员工的操作行为就需要开启审计功能，也就是audit。

1、首先执行以下命令开启auditd服务

| 1 | service auditd start |

2、接着查看看auditd的服务状态，有两种方法可以实现，使用auditctl命令时主要看enabled是否为1，1为开启，0为关闭

[root@ns-master-c01 ~]``# service auditd status` |

`auditd (pid 20594) is running...
[root@ns-master-c01 ~]``# auditctl -s

| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |

3、开启了autid服务后，所有的审计日志会记录在/var/log/audit/audit.log文件中，该文件记录格式是每行以type开头，其中红框处是事件发生的时间（代表从1970年1月1日到现在过了多久，可以用date命令转换格式），冒号后面的数字是事件ID，同一个事件ID是一样的。

4、audit可以自定义对指定的文件或命令进行审计（如监视rm命令被执行、/etc/passwd文件内容被改变），只要配置好对应规则即可，配置规则可以通过命令行（临时生效）或者编辑配置文件（永久生效）两种方式来实现。

命令行语法（临时生效****）****：

| 1 | auditctl -w /bin/``rm -p x -k removefile ``#-w指定所要监控的文件或命令 |

| 2 | #-p指定监控属性，如x执行、w修改 |

| 3 | #-k是设置一个关键词用于查询 |

编辑配置文件（****永久生效）****：

auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules，auditd.conf 主要是定义了auditd服务日志和性能等相关配置，audit.rules才是定义规则的文件，下面是一个例子，其实就是把auditctl的命令直接拿过来即可，auditctl里支持的选项都可以在这个文件里指定

修改完后重启服务

| 1 | service auditd restart |

5、如果直接使用tailf等查看工具进行日志分析会比较麻烦，好在audit已经提供了一个更好的事件查看工具—— ausea****rch， 使用auserach -h查看下该命令的用法：

这里列出几个常用的选项：

-a number #只显示事件ID为指定数字的日志信息，如只显示926事件：ausearch -a 926

-c commond #只显示和指定命令有关的事件，如只显示rm命令产生的事件：auserach -c rm

-i #显示出的信息更清晰，如事件时间、相关用户名都会直接显示出来，而不再是数字形式

-k #显示出和之前auditctl -k所定义的关键词相匹配的事件信息

通过下图可以看到每个事件被虚线分开，用户名和执行的操作也都能清晰的看到了：

6、使用auditctl还可以查看和清空规则

查看源码

摘自 http://www.linuxe.cn/post-255.html

| 1 | auditctl -l 查看定义的规则 |

| 2 | auditctl -D 清空定义的规则 |

⑷ Linux常见日志统计分析命令

在上文中，我们已经详细介绍 linux 三剑客的基本使用，接下来我们看看具体在性能测试领域的运用，本文主要介绍的是在 Tomcat 和 Nginx access日志的统计分析。

server.xml 使用配置方式，%D-请求时间，%F-响应时间

字段说明如下：

日志样例：

使用默认 combined 的经典格式上扩展 response_time&upstream_response_time

nginx.conf 使用配置方式：

字段说明如下：

日志示例：

为了能理解 AWK 程序，我们下面概述其基本知识。

模式( pattern ) 用于匹配输入中的每行文本。对于匹配上的每行文本，awk 都执行对应的动作( action )。模式和动作之间使用花括号隔开。awk 顺序扫描每一行文本，并使用记录分隔符（一般是换行符）将读到的每一行作为记录，使用域分隔符( 一般是空格符或制表符 ) 将一行文本分割为多个域，每个域分别可以使用 2, … 表示。1 表示第一个域，表示第二个域，n 表示第 n 个域。 $0 表示整个记录。模式或动作都可以不指定，缺省模式的情况下，将匹配所有行。缺省动作的情况下，将执行动作 {print}，即打印整个记录。

此处使用Nginx access.log 举例，Tomcat 日志自己举一反三。使用 awk 分解出Nginx access日志中的信息

以此类推…… 当我们使用默认的域分割符时，我们可以从日志中解析出下面不同类型的信息：

我们不难发现，仅使用默认的域分隔符，不方便解析出请求行、引用页和浏览器类型等其他信息，因为这些信息之中包含不确定个数的空格。因此，我们需要把域分隔符修改为 “ ，就能够轻松读出这些信息。

注意：这里为了避免 Linux Shell 误解 “ 为字符串开始，我们使用了反斜杠，转义了 “ 。现在，我们已经掌握了 awk 的基本知识，以及它是怎样解析日志的。

此处使用Nginx access.log 举例，Tomcat 日志自己举一反三。

如果我们想知道那些类型的浏览器访问过网站，并按出现的次数倒序排列，我可以使用下面的命令：

此命令行首先解析出浏览器域，然后使用管道将输出作为第一个 sort 命令的输入。第一个 sort 命令主要是为了方便 uniq 命令统计出不同浏览器出现的次数。最后一个 sort 命令将把之前的统计结果倒序排列并输出。

我们可以使用下面的命令行，统计服务器返回的状态码，发现系统可能存在的问题。

正常情况下，状态码 200 或 30x 应该是出现次数最多的。40x 一般表示客户端访问问题。50x 一般表示服务器端问题。下面是一些常见的状态码：

HTTP 协议状态码定义可以参阅： https://www.w3.org/Protocols/rfc2616/rfc2616.html

查找并显示所有状态码为 404 的请求

统计所有状态码为 404 的请求

现在我们假设某个请求 ( 例如 : URI: /path/to/notfound ) 产生了大量的 404 错误，我们可以通过下面的命令找到这个请求是来自于哪一个引用页，和来自于什么浏览器。

有时候会发现其他网站出于某种原因，在他们的网站上使用保存在自己网站上的图片。如果您想知道究竟是谁未经授权使用自己网站上的图片，我们可以使用下面的命令：

注意：使用前，将 www.example.com 修改为自己网站的域名。

统计共有多少个不同的 IP 访问：

统计每一个 IP 访问了多少个页面：

将每个 IP 访问的页面数进行从小到大排序：

统计 2018 年 8 月 31 日 14 时内有多少 IP 访问 :

统计访问最多的前十个 IP 地址

查看某一个 IP访问了哪些页面：

统计某个 IP 的详细访问情况,按访问频率排序

列出传输大小最大的几个文件

列出输出大于 204800 byte ( 200kb) 的页面以及对应页面发生次数

列出访问最频的页面(TOP100)

列出访问最频的页面([排除php页面】(TOP100)

列出页面访问次数超过100次的页面

列出最近1000条记录，访问量最高的页面

统计每分钟的请求数,top100的时间点(精确到分钟)

统计每小时的请求数,top100的时间点(精确到小时)

统计每秒的请求数,top100的时间点(精确到秒)

统计当天的 pv

说明：

可以使用下面的命令统计出所有响应时间超过 3 秒的日志记录。

注意：NF 是当前记录中域的个数。$NF 即最后一个域。

列出php页面请求时间超过3秒的页面，并统计其出现的次数，显示前100条

列出相应时间超过 5 秒的请求，显示前20条

统计蜘蛛抓取次数

统计蜘蛛抓取404的次数

通过本文的介绍，我相信同学们一定会发现 linux三剑客强大之处。在命令行中，它还能够接受，和执行外部的 AWK 程序文件，可以对文本信息进行非常复杂的处理，可以说“只有想不到的，没有它做不到的”。

⑸ 如何查看linux系统警告日志

1、打开WDCP服务管理系统登录界面，输入用户名和密码，点击登录。

6、在操作日志中，可以看到进行的操作，必要时可以找回误删的数据。

⑹ 4-9 Linux 中的日志分析

日志：系统、软件和用户操作交互信息的记录文件。用于系统审核，日常故障快速定位和排错。

日志文件保存在 /var/log 和 /var/run 目录下。在 RedHat 7 中，系统日志消息由两个服务负责处理，它们是 systemd-journald 和 rsyslogd。

日志的保存时间系统默认是4周，可以通过 cat /etc/logrotate.conf 里面的一项参数查到。rotate 可以修改。

主要日志文件介绍：

/var/log/messages：系统日志，主要记录内核和公共消息。

/var/log/cron：计划执行任务日志。

/var/log/dmesg：系统引导日志。

/var/log/maillog：邮件日志。

/var/log/lastlog：用户登录日志。（用 lastlog 命令）

/var/log/boot.log：系统启动日志。

/var/log/secure：安全和身份验证日志。

/var/log/wtmp：记录所有用户登录的详细信息。（用 last 命令）

/var/log/btmp：记录失败的登录记录（用 lastb 命令）

/var/run/utmp：用户登录、注销及系统开、关等事件。（用 w / who 命令）

（wtmp、btmp 和 utmp 是二进制文件，不能用cat、vi、tail、more这些命令打开查看）

1、/var/log/messages：系统日志，主要记录内核和公共消息。

1）、messages 信息项包括：事件发生的日期和时间、主机，终端名、进程和事件日志。

2）、红色下划线：systemctl restart sshd 重启 sshd 服务。

黄色下划线：tail /var/log/messages 查看 messages 日志。

蓝色方框：messages 日志已经可以查到重启 sshd 服务的记录。

绿色下划线：每个动作都记录得很清楚。暂停中（Stopping）、已暂停（Stopped）、启动中（Starting）和已启动（Started）

2、/var/log/cron：计划执行任务日志。

1）、cron 信息项包括：事件发生的日期和时间、主机，终端名、进程和事件日志。

2）、cron 保存的是计划任务的日志，我们也可以通过特定输出查看计划进程的一些规律。从中也可以梳理一下计划任务的概念。好像 run-parts(/etc/cron.hourly) 进程，基本都是从开机开始，整点 1 个小时就执行一次。一次由两个事件为一组，一条 starting 0anacron ，另一条 finished 0anacron。

输入 grep run-parts'('/etc/cron.hourly')' 的时候，（）括号需要用单引号引起来。

CROND进程，基本上也是从开机开始，整点 1 个小时就执行一次。

run-parts(/etc/cron.daily) 进程每天开机执行一次。一次由四个事件为一组，四个事件里面有两个事件是对应关系。starting man-db.cron 对应 finished man-db.cron，starting logrotate 对应 finished logrotate。

从 cron 日志知道系统的计划任务什么时候触发，执行了什么事件，产生了什么信息。

3、/var/log/dmesg：系统引导日志，显示硬件相关的信息。

head -20 dmesg | nl 列出开头 20 行信息。

4、/var/log/maillog：邮件日志。

红色下划线：tail maillog 查看 maillog 后 10 行信息。

黄色下划线：starting the Postfix mail system 启动 Postfix 邮件系统。daemon started 守护进程启动完成。

maillog 记录的信息都是和邮件有关。

5、/var/log/lastlog：记录所有用户登录最后一次登录本系统的时间信息。用 lastlog 读取信息。lastlog 的几列内容：Username（用户名）、Port（端口）、From（登录IP）、Latest（最后登录时间）。

系统用户是调用系统当中一些特殊服务的用户，不能登录系统（所以它们的登录状态都是显示“**Never logged in**”从来没有登录）。能够登录系统的只有 root 和新建的普通用户。

6、/var/log/boot.log：系统启动日志。

head /var/log/boot.log 列出头 10 条系统启动的信息（内容较长，里面记录了多次启动的信息）。

通过 3 次的重启，查看 boot.log 大小。每重启一次文件的容量就会增大。也证明了每次启动都会往 boot.log 这个文件写信息。

7、/var/log/secure：安全和身份验证日志。

tail secure 列出 secure 文件最后 10 行信息。通过 secure 的信息可以发现记录的是安全相关的信息，记录最多的是哪些用户登录服务器的相关日志。

黄色下划线：Failed password for root —— root 的密码错误。

红色下划线：Accepted password for root —— 密码正确，root 用户接受的密码。

绿色下划线：pam_unix(sshd:session): session opened for user root —— 为 root 用户建立会话。

8、/var/log/wtmp：记录所有用户登录的详细信息。一个二进制文件，不能用cat、vi、tail、more这些命令打开查看。用 last 命令查看。last 作用是显示近期用户或终端登录的情况（包括：登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，）

last -n 10 —— -n 跟一个数字，指定显示最近登录的数据。（或者 last -10 一样效果）

显示的内容有六列：

第一列：用户名。

第二列：终端位置。（pts/0 伪终端，SSH 或 telnet 等工具远程连接的用户，tty0 直接连接到计算机或本地连接的用户，后面的数字代表连接编号）。

第三列：登录 IP 或内核。（如果是 0.0 或者什么都没有，意味着用户通过本地终端连接，除了启动活动，内核版本会显示在状态中）。

第四列：开始时间。

第五列：结束时间。（still、login in 尚未推出，down 直到正常关机，crash 直到强制关机）。

第六列：持续时间。

9、/var/log/btmp：记录失败的登录记录，主要查看错误的登录信息。一个二进制文件，不能用cat、vi、tail、more这些命令打开查看。用 lastb 命令查看。

lastb -n 10 —— -n 跟一个数字，指定显示最近登录的数据。（或者 lastb -10 一样效果）

显示的内容有六列：

第一列：用户名。

第二列：终端位置。（连接失败：notty）。

第三列：登录 IP。

第四列：开始时间。

第五列：结束时间。

第六列：持续时间。

10、/var/run/utmp：用户登录、注销及系统开、关等事件。一个二进制文件，不能用cat、vi、tail、more这些命令打开查看。用 w / who 命令查看。

w 命令：查看登录者的信息及行为。

第一行：系统当前时间、系统没有中断持续性的运行时间、当前登录用户数、CPU在之前 1 分钟、5分钟、15分钟的平均负载。

USER：登录用户名。

TTY：登录后系统分配的终端号。（tty：物理机本机终端、pts：远程终端）

FROM：远程主机名 IP。（tty 物理机本机不显示、pts 远程终端会显示 IP）

LOGIN@ ：登录时间。

IDLE：用户闲置时间。这是个计时器，用户执行任何操作，计时器就会被重置。（这里显示的时间是距离上次命令操作后多久没有进行操作的闲置时间）

JCPU：执行命令进程所消耗的总时间。终端连接的所有进程占用时间，包括当前正在运行作业占用的时间。

PCPU：当前进程所消耗 CPU 的时间。

WHAT：用户正在运行的进程或命令。（-bash 进程是终端进程）

who 命令：显示关于当前在本地系统上的所有用户信息。who 和 w 差不多，who 显示的内容更为简洁。who 命令显示以下内容：登录名、tty、登录日期和时间。如果用户是从远程终端登录的，那么该终端的 IP 也会显示出来。

11、whoami：显示自己的登录用户。

⑺ Linux的audit.log日志审计怎么断定被黑客入侵了

查看日志啊，，你的服务器时间登录结束，，什么时间你没有操作，，而上边显示有登录了，，你懂得

⑻ Linux中与安全审计有关的函数

我的答案是最正确的请采纳我的内核审计系统的接口函数在Linux内核需要输出审计信息时，它先调用函数audit_log_start创建缓冲区。接着，调用函数audit_log或audit_log_format写缓冲区写入审计信息，最后调用函数audit_log_end发送审计信息，并释放缓冲区。这三个函数分别说明如下：1．函数audit_log_start 函数audit_log_start申请审计缓冲区，如果任务当前在系统调用中，系统调用被标识为可审计的，并在系统调用退出时，产生一条审计记录。函数audit_log_start的参数ctx为审计上下文结构实例；参数gfp_mask为分配内存的类型，如：__GFP_WAIT表示可以等待和重调度；参数type为审计消息类型。如果缓存区申请成功，它返回审计缓冲区的指针，否则返回NULL表示错误。函数audit_log_start申请审计缓冲区，当审计缓冲区链表的缓冲区个数超过上限时，当前进程需要等待用户空间的后台进程将审计消息写入log文件，直到缓冲区个数小于上限值为止。函数audit_log_start在申请并初始化审计缓冲区后，给缓冲区加时间戳和审计记录序列号。函数audit_log_start列出如下（在linux26/kernel/audit.c中）：//声明等待队列头，用于等待审计消息被后台进程写入log文件static DECLARE_WAIT_QUEUE_HEAD(audit_backlog_wait);struct audit_buffer *audit_log_start(struct audit_context *ctx, gfp_t gfp_mask,int type){struct audit_buffer*ab= NULL;struct timespect;unsigned intserial;int reserve;unsigned long timeout_start = jiffies; //开始的时间if (!audit_initialized)//如果已初始化，就直接退出return NULL;if (unlikely(audit_filter_type(type)))return NULL;if (gfp_mask & __GFP_WAIT)reserve = 0;elsereserve = 5; /*允许调用者多出5个条目*/ //当链表中审计缓冲区数超出上限时，进程等待auditd处理链表中缓冲区while (audit_backlog_limit&& skb_queue_len(&audit_skb_queue) > audit_backlog_limit + reserve) {if (gfp_mask & __GFP_WAIT && audit_backlog_wait_time && time_before(jiffies, timeout_start + audit_backlog_wait_time)) {/* 等待后台进程auditd从队列中处理部分缓冲区 */DECLARE_WAITQUEUE(wait, current);set_current_state(TASK_INTERRUPTIBLE); //设置当前进程的状态为可中断等待状态add_wait_queue(&audit_backlog_wait, &wait); //将当前进程加入等待队列if (audit_backlog_limit && skb_queue_len(&audit_skb_queue) > audit_backlog_limit)schele_timeout(timeout_start + audit_backlog_wait_time - jiffies);//调度__set_current_state(TASK_RUNNING);//设置当前进程为运行状态remove_wait_queue(&audit_backlog_wait, &wait);continue;} //检查每秒发送的记录数不能超过上限，以防止受非法攻击if (audit_rate_check())printk(KERN_WARNING "audit: audit_backlog=%d > " "audit_backlog_limit=%d\n", skb_queue_len(&audit_skb_queue), audit_backlog_limit);audit_log_lost("backlog limit exceeded");audit_backlog_wait_time = audit_backlog_wait_overflow;wake_up(&audit_backlog_wait);return NULL;}ab = audit_buffer_alloc(ctx, gfp_mask, type);//申请审计缓冲区if (!ab) {audit_log_lost("out of memory in audit_log_start");return NULL;}//得到当前时间存入t，计算审计记录的序列号，存入serialaudit_get_stamp(ab->ctx, &t, &serial); //将时间戳和序列号写入审计记录audit_log_format(ab, "audit(%lu.%03lu:%u): ", t.tv_sec, t.tv_nsec/1000000, serial);return ab;}函数audit_buffer_alloc申请审计缓冲区，先尝试从空闲链表上取下一个缓冲区，如果空闲链表中没有，就分配一个缓冲区。然后，填充netlink消息头。该函数列出如下： static DEFINE_SPINLOCK(audit_freelist_lock);//定义自旋锁，用于锁住链表audit_freeliststatic struct audit_buffer * audit_buffer_alloc(struct audit_context *ctx,gfp_t gfp_mask, int type){unsigned long flags;struct audit_buffer *ab = NULL;struct nlmsghdr *nlh; //从空闲链表中得到一个缓冲区spin_lock_irqsave(&audit_freelist_lock, flags);//加锁if (!list_empty(&audit_freelist)) {ab = list_entry(audit_freelist.next,struct audit_buffer, list);list_del(&ab->list);--audit_freelist_count;}spin_unlock_irqrestore(&audit_freelist_lock, flags);//释放锁 //如果空闲链表中没有空闲缓冲区成员，就分配一个缓冲区if (!ab) {ab = kmalloc(sizeof(*ab), gfp_mask);if (!ab)goto err;}ab->skb = alloc_skb(AUDIT_BUFSIZ, gfp_mask);//分配套接字缓冲区if (!ab->skb)goto err;ab->ctx = ctx;ab->gfp_mask = gfp_mask; //扩展套接字缓冲区skb的已使用数据区，将netlink消息头数据nlmsghdr加到skbnlh = (struct nlmsghdr *)skb_put(ab->skb, NLMSG_SPACE(0));nlh->nlmsg_type = type;nlh->nlmsg_flags = 0;nlh->nlmsg_pid = 0;nlh->nlmsg_seq = 0;return ab;err:audit_buffer_free(ab);return NULL;}2．函数audit_log_format函数audit_log_format将一个审计消息按格式写入审计缓冲区，参数ab为审计缓冲区，参数fmt为格式化的字符串。其列出如下：void audit_log_format(struct audit_buffer *ab, const char *fmt, ...){va_list args;if (!ab)return;va_start(args, fmt);audit_log_vformat(ab, fmt, args);va_end(args);}函数audit_log_vformat将一个审计消息按格式写入套接字缓冲区中，如果审计缓冲区没有足够的空间，就扩展套接字缓冲区的数据域。由于printk缓冲区为1024，扩展的套接字缓冲区最小应为1024。函数audit_log_vformat列出如下： static void audit_log_vformat(struct audit_buffer *ab, const char *fmt, va_list args){int len, avail;struct sk_buff *skb;va_list args2;if (!ab)return;BUG_ON(!ab->skb);skb = ab->skb;avail = skb_tailroom(skb);//计算套接字缓冲区的空闲数据空间if (avail == 0) {//如果套接字缓冲区没有空闲数据空间，扩展空间avail = audit_expand(ab, AUDIT_BUFSIZ);// AUDIT_BUFSIZ为1024，if (!avail)goto out;}va_(args2, args);len = vsnprintf(skb->tail, avail, fmt, args);//将信息写入到缓冲区if (len >= avail) {//如果实际信息长度比可用的缓冲区大，扩展空间/* 由于printk缓冲区是1024，因此，扩展空间最少为1024 */avail = audit_expand(ab,max_t(unsigned, AUDIT_BUFSIZ, 1+len-avail));if (!avail)goto out;len = vsnprintf(skb->tail, avail, fmt, args2); //将审计信息写入到缓冲区}if (len > 0)skb_put(skb, len); //将写入信息的数据缓冲区附加到skb上out:return;}
函数audit_expand扩展在审计缓冲区中的套接字缓冲区，扩展成功，返回可用的空间大小，扩展失败返回0，表示没有空间。参数ab表示审计缓冲区的指针，参数extra表示加到套接字缓冲区skb尾部的缓冲区空间大小。函数audit_expand列出如下：static inline int audit_expand(struct audit_buffer *ab, int extra){struct sk_buff *skb = ab->skb;int ret = pskb_expand_head(skb, skb_headroom(skb), extra, ab->gfp_mask);if (ret < 0) {audit_log_lost("out of memory in audit_expand");return 0;}return skb_tailroom(skb);//返回可用的缓冲区空间大小}3．函数audit_log_end当进程完成了将审计记录写入审计缓冲区的操作时，它调用函数audit_log_end将套接字缓冲区中的审计记录数据发送给用户空间后台进程，由后台进程写入到log文件。如果审计后台进程存在，使用netlink机制传输数据，由审计后台将套接字缓冲区中的审计记录数据写入审计文件audit.log中；如果审计后台不存在，使用函数printk记录数据，然后由日志后台进程将数据写入到日志文件中。当数据发送完成后，函数audit_log_end唤醒等待队列kauditd_wait。有些进程因为审计套接字缓冲区链表上的缓冲区数量超过上限而在队列kauditd_wait等待，当其他进程发送了数据时，应唤醒这些等待进程。函数audit_log_end列出如下：void audit_log_end(struct audit_buffer *ab){if (!ab)return;if (!audit_rate_check()) {//检查审计系统的传输速度，如果netlink机制传输速度超过上限，则返回错误audit_log_lost("rate limit exceeded");} else {if (audit_pid) {//如果审计后台的进程ID存在，使用netlink机制传输数据struct nlmsghdr *nlh = (struct nlmsghdr *)ab->skb->data;nlh->nlmsg_len = ab->skb->len - NLMSG_SPACE(0);skb_queue_tail(&audit_skb_queue, ab->skb);ab->skb = NULL;wake_up_interruptible(&kauditd_wait);//发送了数据，唤醒等待队列} else {//使用printk记录数据printk(KERN_NOTICE "%s\n", ab->skb->data + NLMSG_SPACE(0));}}audit_buffer_free(ab);}

导航:首页 > 编程系统 > linuxauditlog分析

linuxauditlog分析

与linuxauditlog分析相关的资料

友情链接