Symantec Endpoint Protection (SEP) 14.3 RU3、RU4 のインストール後、/var/log/messages に以下が記録される。

Nov 2 13:59:02 xxxx auditd[1138]: Skipping line 8 in /etc/audit/plugins.d/sisaudisp.conf: too long

Sep 27 11:15:03 audispd: Skipping line 8 in /etc/audisp/plugins.d/sisaudisp.conf: too long

• SEP 14.3 RU3 / RU4 for Linux

SEP 14.3 RU3 インストーラーがインストール時に /etc/audit/plugins.d/sisaudisp.conf 、/etc/audisp/plugins.d/sisaudisp.conf ファイルを作成します。

$ cat /etc/audit/plugins.d/sisaudisp.conf
# Symantec audisp plugin

active = no
direction = out
path = /opt/Symantec/sdcssagent/IDS/bin/sisaudisp
type = always 
args = none
format = string

内容に問題はありませんが、最後に LF がありません。

$ od -tc /etc/audit/plugins.d/sisaudisp.conf
0000000 # S y m a n t e c a u d i s
0000020 p p l u g i n \n \n a c t i v e
0000040 = n o \n d i r e c t i o n
0000060 = o u t \n p a t h = / o p
0000100 t / S y m a n t e c / s d c s s
0000120 a g e n t / I D S / b i n / s i
0000140 s a u d i s p \n t y p e = a
0000160 l w a y s \n a r g s = n o
0000200 n e \n f o r m a t = s t r i
0000220 n g
0000222

この問題は Symantec Endpoint Protection 14.3 RU5 で修正されました。最新の SEP バージョンの入手方法については、下記の技術文書を参照してください。

• Symantec Enterprise Security ソフトウェアのダウンロード
• Endpoint Protection の入手方法について  

回避策:

ログメッセージを抑制するには、sisaudisp.conf に LF を追加してください。

$ echo "" >> /etc/audit/plugins.d/sisaudisp.conf

$ echo "" >> /etc/audisp/plugins.d/sisaudisp.conf

CRE-8436

[英語文書] Error: Skipping line 8 in /etc/audit/plugins.d/sisaudisp.conf: too long