系统时间每个小时45分,会被校时为40分,然后过了大概2-3分钟,软件平台agent又会将系统时间校对,然后这个时候去查clock,发现硬件时间就相差了5分钟,找不到谁去改时间的源头。 系统/var/log/messages日志虽然会记录系统时间跳变的内容,但是时间跳变来着哪个程序是不会打印的。于是计划部署审计任务,以便时间被修改后有更多的信息帮忙分析问题。echo "-a always,exit -F arch=b64 -S adjtimex,settimeofday,clock_settime,clock_adjtime -F key=time_change" >> /etc/audit/rules.d/audit.rules
service auditd stop && service auditd start
等待时间被修改,执行命令查询日志ausearch -k time_change -i 发现16:45:51时有程序PID 82369 父进程PID 74028执行过date -s 的命令来修改系统时间。 ps -ef | grep 74028查询该进程具体信息为qaxsafed进程。 经确认qaxsafed(奇安信的安全软件)程序会定时向服务端去校时,服务端的时间是错误的,所以每次都被他校成错误的时间了。 到此,问题已经定位明确,qaxsafed服务端提供了错误的时间,导致每次客户端向服务端同步时把系统时间修改成错误的时间,修改服务端的时间为正确的时间或者取消qaxsafed同步时间的功能。
打赏
支付宝微信扫一扫,打赏作者吧~
本文链接:https://kinber.cn/post/6649.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
