当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd 和 rsyslogd 守护进程的状态:
- 若 auditd 守护进程正在运行,则拒绝消息将被记录与 /var/log/audit/audit.log 中。
- 若 auditd 守护进程没有运行,但 rsyslogd 守护进程正在运行,则拒绝消息会记录到 /var/log/messages 中。
#查看一下日志里的信息
[root@lex ~]# vim /var/log/audit/audit.log
注意,如果 auditd 和 rsyslogd 都在运行,那么拒绝消息将发送到 audit.log 和 messages 日志文件中。
检查一下,两个进程都在运行
