背景说明

系统时间每个小时30分，会被校时为40分，然后过了大概2-3分钟，软件平台agent又会将系统时间校对，然后这个时候去查clock，发现硬件时间就相差了10分钟，找不到谁去改时间的源头。

问题定位

# 配置审计规则

echo "-a always,exit -F arch=b64 -S adjtimex,settimeofday,clock_settime,clock_adjtime -F key=time_change" >> /etc/audit/rules.d/audit.rules

# 重启审计服务

systemctl  restart  auditd

systemctl status auditd

# 检查规则是否生效

auditctl -l

# 查询日志，找到PID

ausearch -k time_change -i

# 根据PID查找具体的进程

ps -ef | grep PID

此处使用centos7系统，仅作参考。

转载自CSDN-专业IT技术社区

原文链接：https://blog.csdn.net/qq_34777982/article/details/151958547