Product SiteDocumentation Site

5.2. Qué Archivo Log se usa

In Fedora 13, the dbus, setroubleshoot-server and audit packages are installed if packages are not removed from the default package selection.
Los mensajes de negación de SELinux, tales como el siguiente, se escriben por defecto en /var/log/audit/audit.log:
type=AVC msg=audit(1223024155.684:49): avc:  denied  { getattr } for  pid=2000 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file

Also, if setroubleshootd is running, denial messages from /var/log/audit/audit.log are translated to an easier-to-read form and sent to /var/log/messages:
May  7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d

In Fedora 13, setroubleshootd no longer constantly runs as a service, however it is still used to analyze the AVC messages. Two new programs act as a method to start setroubleshoot when needed: sedispatch and seapplet. sedispatch runs as part of the audit subsystem, and via dbus, sends a message when an AVC denial occurs, which will go straight to setroubleshootd if it is already running, or it will start setroubleshootd if it is not running. seapplet is a tool which runs in the system's toolbar, waiting for dbus messages in setroubleshootd, and will launch the notification bubble, allowing the user to review the denial.
Los mensajes de negación se envían a una ubicación distinta, dependiendo de cuáles demonios se están ejecutando:
DaemonLog Location
auditd on/var/log/audit/audit.log
auditd off; rsyslogd on/var/log/messages
rsyslogd and auditd on/var/log/audit/audit.log. Easier-to-read denial messages also sent to /var/log/messages
Iniciando Demonios Automáticamente
Para configurar los demonios auditd, rsyslogd, y setroubleshootd para que inicien automáticamente al arrancar, corra los siguientes comandos como usuario root de Linux:
/sbin/chkconfig --levels 2345 auditd on

/sbin/chkconfig --levels 2345 rsyslog on

Use el comando service nombre-de-servicio status para chequear si estos servicios se están ejecutando, por ejemplo:
$ /sbin/service auditd status
auditd (pid  1318) is running...

Si los servicos de arriba no se están ejecutando (nombre-de-servicio está detenido), use el comando service nombre-de-servicio start como usuario root de Linux para iniciarlos. Por ejemplo:
# /sbin/service auditd start
Starting auditd:                                  [  OK  ]