Auditd给日志写了很多东西

Question

最近，我尝试使用auditd查找在CentOS 5 x64操作系统上创建tmp文件的内容。我删除了规则：

# auditctl -l
No rules

但是有很多写到auditd日志中的东西。如果我使用ssh检查日志：

# watch ls -la /var/log/audit/

auditd写2kb/s，如果我用samba检查它，它每秒钟旋转5MB的日志文件。如果我通过ssh检查它，并使用samba打开一个目录-它每次打开一个目录时写1MB。我将其与我的CentOS 6服务器进行比较，该服务器在通过ssh检查日志时不写入日志。它只在我通过ssh登录/注销时写。

我没有改变配置。

更新:在服务器重新启动后，auditd不再写入那么多数据。它仍然写着一些东西，但它不会泛滥。下面是它现在写的内容：

type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

而且没有任何规则-- auditctl -l什么也没有显示。除了规则之外，还有其他可能导致auditd写入日志的内容吗？

Answer 1

重新启动auditd服务吗? /etc/init.d/auditd重新启动还是服务auditd重新启动？

在/var/log/audit.log文件中创建了哪些事件？