[CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash)
Frank Thommen
frank.thommen at embl-heidelberg.de
Mi Okt 2 13:49:26 UTC 2013
Hallo zusammen,
auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das
/var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen
kann. In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft
und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.
Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:
[...]
[ 24272.458] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.487] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24951 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.490] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.500] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24948 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
from local host ( uid=9435 gid=577 pid=24952 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.521] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.549] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24957 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.552] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.564] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.575] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24954 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.577] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
from local host ( uid=9435 gid=577 pid=24958 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.585] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.612] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24963 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.616] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.628] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.630] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24960 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.633] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
from local host ( uid=9435 gid=577 pid=24964 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.644] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.673] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24969 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.679] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[ 24272.691] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
[ 24272.692] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
from local host ( uid=9435 gid=577 pid=24966 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.697] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
from local host ( uid=9435 gid=577 pid=24970 )
Auth name: MIT-MAGIC-COOKIE-1 ID: 572
[ 24272.711] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
[...]
Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den
ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass
der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.
Xorg laeuft mit folgenden Optionen:
/usr/bin/Xorg :0 -nr -verbose -audit 4 -auth
/var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1
Fragen:
* Wie kriegt man heraus, welche Prozesse fuer die Meldungen
verantwortlich sind?
* Wie kann man das Auditing komplett abschalten (ich kann
nirgends eine Einstellung finden, die den Audit-Level auf 4
setzt)
* Wofuer ist das Auditing ueberhaupt gut?
Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses
Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art
verwendet werden.
Gruss
frank