Privileged Access Manager Server Control ( 以下、 PAM SC) で監査ログをsyslogに転送している。

送られている監査ログを監査しているときに以下のように重複したメッセージが見つかることがある。

Nov 27 16:15:17 server daemon:debug selogrd[3409178]: 27 Nov 2023 16:15:10 P TRACE        root         656446db:0000010b xxxxxxxx     root         ARGS         /usr/bin/grep  994  EXECARGS: 'grep xxxxxxxx /etc/passwd'
Nov 27 16:15:22 server daemon:debug selogrd[3409178]: 27 Nov 2023 16:15:10 P TRACE        root         656446db:0000010b xxxxxxxx    root         ARGS         /usr/bin/grep  994  EXECARGS: 'grep xxxxxxxx /etc/passwd'

Privileged Access Manager Server Control: All

Privileged Identity Manager: All

監査ログのメッセージが syslog に転送され重複する事象には複数の原因が考えられます。
いくつかのケースでは実際の OS 上で一つのコマンドの内部動作としてアクセスが複数回発生しているため、監査ログ上で重複したメッセージと見える場合があります。
これは、PAMSC が実行されたコマンドの動作を追跡しているのではなく、実行されたシステムコールを追跡しているためで、製品仕様通りの動作となります。

別のケースでは、同時に2種類のトレースが設定されておりそれぞれのルールでチェックされたものが重複して出力されていることが見つかりました。

一つのトレースのみを有効としてください。
今回の動作としては仕様通りの動作となります。

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 278448: PAMSC - selogrd - duplicate messages were sent to syslog