명확한 규칙 목록을 사용하여 시스템을 다시 시작했지만 auditctl
auditd는 여전히 콘텐츠를 보고합니다. 왜? 내가 원하는 것만 보고하도록 규칙을 추가하려면 어떻게 해야 합니까? 규칙을 추가하면 다른 것도 보고됩니다. 참고: 감사를 비활성화하고 싶지는 않습니다. 단지 내가 지정한 값으로 줄이기만 하면 됩니다.
# auditctl -D
# auditctl -l
No rules
# tail -f /var/log/audit/audit.log
type=CRED_DISP msg=audit(1488635581.867:12842): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1488635581.868:12843): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
등.
여기서 무슨 일이 일어나고 있는 걸까요? 내가 원하는 규칙 외에는 아무 것도 기록하지 않게 하려면 어떻게 해야 합니까?
거의 효과가 없었지만 다음을 시도했습니다.
-a exclude,always
참고: 검토 버전 2.6.5, 커널: 3.10.0