正常运行一段时间之后突然获取不到HP-UX主机的日志,HP-UX主机的SAM自动关闭审计

发布时间:  2012-07-16 浏览次数:  121 下载次数:  0
问题描述
1.Secospace eLog 日志管理系统所支持的HP-UX主机版本为:B.11.11 U。在Secospace eLog 日志管理系统中查询HP-UX主机的日志时,查不到最新的日志信息。
2.登录HP-UX主机,运行命令cd /var/log/eLog/,进入日志文件所在目录。运行命令ls -l查看当前系统的日志文件信息,5分钟之后再运行一次,对比两次的输出结果发现审计日志文件的大小不再增加,日志文件的日期也不再更新。
3.运行命令sam查看HP-UX的审计配置,发现“Auditing Turned”为“OFF”,日志审计被关闭了。
告警信息
处理过程
给HPUX服务器打补丁。方法如下:
  1. 到HP官方网站上下载补丁号为PHCO_35732和PHCO_36562的两个补丁。
  2. 安装这两个补丁。
  3. 在系统提示符下运行命令swlist -l fileset -a state,如果在输出结果中可以找到以下信息,说明补丁已经安装成功。
# PHCO_35732               
  PHCO_35732.ADMN-ENG-A-MAN     configured     
  PHCO_35732.SYS-ADMIN          configured     
# PHCO_36562               
  PHCO_36562.INETSVCS-BOOT      configured     
  PHCO_36562.SAM        configured     
  PHCO_36562.SAM-ENG-A-MAN      configured     
  PHCO_36562.SAM-HELP           configured     
  PHCO_36562.UX-CORE        configured    
根因
在系统提示符下运行命令ls /var/sam/log/samlog查看HP-UX的SAM日志,显示如下信息:
@!@4@1253379892@0 
ioparser.sh: Executing the following command:\Cinsf > /dev/null 2>&1\Cto bind devices to Card Instance numbers.
@!@4@1253379896@0
ioparser.sh: Determine if ioscan is to be run.  If ioscan is not run at this 
time use previous ioscan output cached in $IOSCAN_OUT.
@!@4@1253379896@0
ioparser.sh: Executing the following command:\Cioscan $* > $IOSCAN_OUT\C”
@!@2@1253379927@0
Executing the following command:\C/usr/bin/kill -9 `ps -ef | /usr/bin/grep '[
a]udomon' | /usr/bin/awk '{ printf "%s ", $2 } END { print }'`\C”
@!@1@1253379927@0
Successfully turned auditing off.
可以看出,是由于HP-UX系统SAM的自身错误造成的审计被强制关闭。
建议与总结

END