[CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash) [geloest]

Frank Thommen frank.thommen at embl-heidelberg.de
Fr Okt 4 11:41:43 UTC 2013 

Problem geloest: Ein Benutzer hatte Thunderbird (!) als "preferred 
Browser" konfiguriert.  Sobald er in TB einen Link anklickte, landete 
das System offenbar in einer Endlosschlaufe, in der versucht wurde mit 
dem "preferred Browser" (aka TB) einen Link zu oeffnen, welcher 
versuchte mit dem "preferred Browser" (aka TB) einen Link zu oeffnen 
usw. usf.  Das ergibt ca. 40 MB Audit-Zeilen/Stunde in /var/log/Xorg.0.log

Gruss
frank


On 02.10.13 15:49, Frank Thommen wrote:
> Hallo zusammen,
>
> auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das
> /var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen
> kann.  In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft
> und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.
>
> Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:
>
> [...]
> [ 24272.458] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.487] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24951 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.490] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.500] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24948 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24952 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.521] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.549] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24957 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.552] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.564] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.575] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24954 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.577] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24958 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.585] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.612] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24963 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.616] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.628] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.630] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24960 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.633] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24964 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.644] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.673] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24969 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.679] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.691] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.692] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24966 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.697] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24970 )
>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.711] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
> [...]
>
> Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den
> ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass
> der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.
>
> Xorg laeuft mit folgenden Optionen:
> /usr/bin/Xorg :0 -nr -verbose -audit 4 -auth
> /var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1
>
>
>
> Fragen:
>
>     * Wie kriegt man heraus, welche Prozesse fuer die Meldungen
>       verantwortlich sind?
>
>     * Wie kann man das Auditing komplett abschalten (ich kann
>       nirgends eine Einstellung finden, die den Audit-Level auf 4
>       setzt)
>
>     * Wofuer ist das Auditing ueberhaupt gut?
>
>
> Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses
> Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art
> verwendet werden.
>
> Gruss
> frank
>


-- 
Frank Thommen - Structures IT Management and Support - EMBL Heidelberg
frank.thommen at embl-heidelberg.de - +49 6221 387 8353