1、步骤1:通过不断的在系统中执行ssh远程连接,产生用户登录的audit日志;
2、步骤2:执行内存使用情况监视命令:watch -n 1 -d cat "/proc/"`ps -ef | grep -w auditd |grep -v grep | awk 'NR==1 {print $2}'`"/status"。
3、结果:内存使用情况会不断增加,如附件audit06测试内存泄漏情况.mp4.
对比版本(audit-3.0-5)和版本(audit-3.0-5.se.06),发现audit-3.0-5版本不存在问题,即分析se.06版本添加的6个补丁,发现se.05版本中引入了计算日志分区剩余大小的计算方式,分析补丁代码,发现有申请内存后未及时释放的问题。
升级audit包版本至audit-3.0-5.se.08.ky10版本。
完成升级之后,请重启audit服务,重启后服务器是正常的,可通过systemctl status auditd查看。
