作者QoHyacinthoQ (威呈~殘雨虹)
看板Linux
標題[問題] contab無法輸出ausearch正確內容請教
時間Fri Jul 28 21:24:34 2023
前提:相關services均有重啟、確認status正常、均使用root、Red Hat 7.9 & 8.6。
vi /etc/audit/rules.d/audit.rules
底下有加了:-w /tmp/test -p wa -k audit_check
手動執行都正常:
ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
當/tmp/test內有異動會寫入到audit_check.log
但我用crontab設定:
xx xx * * * ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
結果audit_check.log的內容反而變成空的(非無輸出,會被蓋掉),請問為何?
其它嘗試(一樣手動跑shell可以、但透過crontab就不行):
xx xx * * * sh /root/audit_check.sh
#!/bin/bash
PATH=/usr/sbin:/sbin:/usr/bin:/bin
/usr/sbin/ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.53.162.19 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1690550676.A.AFA.html
1F:推 lantw44: 看一下信箱有沒有收到錯誤訊息? 07/28 21:34
2F:→ QoHyacinthoQ: 是成功的,只是覆蓋變成空值?有內容變無內容.. 07/28 21:55
3F:推 menterning: 寫在 /etc/crontab 的 audit_check.sh 要有完整路徑 07/31 07:15
4F:→ QoHyacinthoQ: 我直接用root去crontab -e,有給完整路徑,結果會是 08/01 09:12
5F:→ QoHyacinthoQ: no match而空白,我懷疑是參數-ts today的問題? 08/01 09:12
6F:推 ray0609: 看不出來你多久我執行一次,如果做一次要很久,結 08/19 13:32
7F:→ ray0609: 果下一個又開始執行了,就可能是空白 08/19 13:32