Re: [CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash)

3 Oct 2013

      Hallo,
* vielleicht hilft Dir das, zum Thema Authorisierung bei X:
        http://en.wikipedia.org/wiki/X_Window_authorization#Cookie-based_access
Gruss
Markus
On Mit, 2013-10-02 at 15:49 +0200, Frank Thommen wrote:
...
Hallo zusammen,
auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das 
/var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen 
kann.  In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft 
und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.
Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:
[...]
[ 24272.458] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.487] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24951 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.490] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.500] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24948 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected 
from local host ( uid=9435 gid=577 pid=24952 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.521] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.549] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24957 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.552] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.564] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.575] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24954 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.577] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected 
from local host ( uid=9435 gid=577 pid=24958 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.585] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.612] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24963 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.616] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.628] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.630] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24960 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.633] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected 
from local host ( uid=9435 gid=577 pid=24964 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.644] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.673] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24969 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.679] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.691] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.692] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected 
from local host ( uid=9435 gid=577 pid=24966 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.697] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected 
from local host ( uid=9435 gid=577 pid=24970 )
   Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.711] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
[...]
Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den 
ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass 
der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.
Xorg laeuft mit folgenden Optionen:
/usr/bin/Xorg :0 -nr -verbose -audit 4 -auth 
/var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1
Fragen:

Wie kriegt man heraus, welche Prozesse fuer die Meldungen
verantwortlich sind?

Wie kann man das Auditing komplett abschalten (ich kann
nirgends eine Einstellung finden, die den Audit-Level auf 4
setzt)

Wofuer ist das Auditing ueberhaupt gut?

Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses 
Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art 
verwendet werden.
Gruss
frank
-- 
_______________________________________________
CentOS-de mailing list
CentOS-de@centos.org
http://lists.centos.org/mailman/listinfo/centos-de

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

Re: [CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash)