Установлены ли у вас пакеты аудита? Если да, то включен ли auditd
и запущен ли он?
Если у вас не установлены пакеты аудита, audit
и audit-libs
, а служба auditd
запущена, журналы перестанут появляться там, где вы ожидаете (/var/log/audit
). В этом случае они будут появляться в /var/log/messages
.
Вероятно, кто-то просто запускает его из оболочки, а не через systemd.
# systemctl status nginx
● nginx.service - The nginx HTTP and reverse proxy server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled; vendor preset: disabled)
Active: inactive (dead)
# systemctl status `ps h -C nginx -o pid`
session-1.scope - Session 1 of user username
Loaded: loaded (/run/systemd/transient/session-1.scope; transient)
Transient: yes
Active: active (abandoned) since Thu 2019-02-07 15:59:14 CET; 2 weeks 4 days ago
Tasks: 20
Memory: 1.3G
CGroup: /user.slice/user-1000.slice/session-1.scope
├─ 1156 journalctl -fl -p 6
├─ 2101 SCREEN
├─ 2102 /bin/bash
├─ 2158 sudo -i
├─ 2160 -bash
├─ 2205 /bin/bash
├─ 8615 /bin/bash
├─ 8671 mutt
├─ 8676 /bin/bash
├─20240 sudo -i
├─20242 -bash
├─23962 systemctl status 30810 30827 30828 30829 30830
├─23963 less
├─30810 nginx: master process nginx -c /etc/nginx/nginx.conf
├─30827 nginx: worker process
├─30828 nginx: worker process
├─30829 nginx: worker process
└─30830 nginx: worker process
Решение killall nginx
как корень. Илиsystemd stop session-1.scope
(замените сеанс -1.scope на свой ), но это уничтожит весь процесс для этого пользовательского сеанса.