내 audit.log에서 다음 이벤트가 반복적으로 발생합니다. 누군가 이러한 6개의 특정 항목을 차단하는 audit.rules 파일 규칙에 대한 유효한 구문을 제공할 수 있습니까?
type=이상적으로는 필터가 아래 표시된 6개뿐만 아니라 uid=0및 및 auid-4294967295및 ses=4294967295및 exe=/bin/su에도 작동하도록 하고 싶습니다 result=success.
원격으로 가능합니까?
-F msgtype=USER_AUTH이 플래그는 규칙에서만 작동한다는 것을 알았습니다 . -a exclude제외 플래그와 함께 다른 플래그를 사용할 수 없습니다 -F auid=4294967295. 예를 들어 모든 USER_AUTH 유형을 제외할 수 없으며 기본 이벤트를 놓칠 수 없습니다.
node=testserver type=USER_AUTH msg=audit(1480608618.705:570): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_ACCT msg=audit(1480608618.705:571): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_ACQ msg=audit(1480608618.705:572): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_START msg=audit(1480608618.705:573): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_open acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_END msg=audit(1480608618.817:574): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_close acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_DISP msg=audit(1480608618.817:575): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'