<div dir="ltr">Hi linux-audit,<div><br></div><div>I'm running a fleet of Linux hosts with Red Canary Linux EDR (Endpoint Detection and Response) which uses eBPF for gathering telemetry in service `<font face="monospace" style="background-color:rgb(238,238,238)">cfsvcd.service</font>`. In an older configuration, it gathered data from the kernel's audit system and everything was fine. However, when we switched cfsvcd to gathering data from eBPF instead, we noticed that the kernel ring buffer was flooded with audit messages. This is because cfsvcd.service now stops auditd.service, but leaves the kernel audit system enabled.</div><div><br></div><div>I've mitigated this issue by manually running `<font face="monospace" style="background-color:rgb(238,238,238)"># auditctl -e 0</font>` on our hosts (via Puppet). However, I'm running into a strange issue where _some_ hosts (~0.5%) are still logging all audit events to the kernel ring buffer even after I have disabled the audit system via `<font face="monospace" style="background-color:rgb(238,238,238)"># auditctl -e 0</font>`. A `<font face="monospace" style="background-color:rgb(238,238,238)"># auditctl -s</font>` run shows `<font face="monospace" style="background-color:rgb(238,238,238)">enabled 0</font>`, yet audit logs continue to flood the kernel ring buffer.</div><div><br></div><div>I'm running Linux kernel 5.4.0-1063-aws on Ubuntu 18.04 with auditctl v2.8.2. `<font face="monospace" style="background-color:rgb(238,238,238)">systemd-journald-audit.socket</font>` is masked & inactive, `<font face="monospace" style="background-color:rgb(238,238,238)">auditd.service</font>` is disabled & inactive.</div><div><br></div><div>I cannot entirely disable the audit system via a kernel parameter because Red Canary Linux EDR fails to start cfsvcd.service as it fails to run some auditctl command due to no audit support in the kernel:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><font face="monospace">Jun 28 20:41:04 systemd[1]: Started Canary Forwarder Service.<br>Jun 28 20:41:04 cfsvcd[105781]: Found config file at path '"/opt/redcanary/config.json"', continuing execution...<br>Jun 28 20:41:12 cfsvcd[105781]: component: Sentry<br>Jun 28 20:41:12 cfsvcd[105781]:  Jun 28 20:41:12.055 INFO Initializing Sentry Config { version: "1.4.17.release.[...]", https_proxy: None, extra_tags: [("telemetry.source", "eBPF")], logging_enabled: true, metrics_enabled: true, [...]}<br>Jun 28 20:41:12 cfsvcd[105781]: Failed to setup or configure host system: Linux Audit watcher failure: Netlink Error: IO Error: Protocol not supported (os error 93)<br>Jun 28 20:41:12 cfsvcd[105781]: Received stop. Exiting unix::wait_for_signal. Signal: 0, done.is_signaled(): true<br>Jun 28 20:41:12 cfsvcd[105781]: Joining async_agent_thread<br>Jun 28 20:41:13 cfsvcd[105781]: Attempting to stop subscriber (Ebpf).<br>Jun 28 20:41:13 cfsvcd[105781]: Shutting down due to termination signal<br>[...]<br>Jun 28 20:41:15 cfsvcd[105781]: Subscriber stopped.<br>Jun 28 20:41:15 auditctl[106733]: Error - audit support not in kernel<br>Jun 28 20:41:15 auditctl[106733]: Cannot open netlink audit socket<br>Jun 28 20:41:15 systemd[1]: cfsvcd.service: Service hold-off time over, scheduling restart.<br>Jun 28 20:41:15 systemd[1]: cfsvcd.service: Scheduled restart job, restart counter is at 301.<br>Jun 28 20:41:15 systemd[1]: Stopped Canary Forwarder Service.</font><br></blockquote><div><br></div><div>Here's the unit file for cfsvcd.service:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><font face="monospace">[Unit]<br>Description=Canary Forwarder Service<br><br>DefaultDependencies=no<br>After=local-fs.target systemd-tmpfiles-setup.service auditd.service<br>Before=sysinit.target shutdown.target<br># Replace the auditd service if it is running<br>Conflicts=auditd.service shutdown.target<br><br>[Service]<br>WorkingDirectory=/opt/redcanary<br>ExecStart=/opt/redcanary/cfsvcd<br>ExecStopPost=-/sbin/auditctl -D<br>Restart=always<br>TimeoutSec=15<br><br>[Install]<br>WantedBy=multi-user.target</font><br></blockquote><div><br></div><div>Is this a known issue? Is there a workaround to stop the logging to the kernel ring buffer? Is there any more information I can provide to help debug?</div><div><br></div><div>Thanks,</div><div>Samuel Bahr</div><div>Pinterest Sr. Site Reliability Engineer</div></div>