auditctl을 사용하여 지정한 규칙만 보고하도록 auditd를 얻으려면 어떻게 해야 합니까? (리눅스)

auditctl을 사용하여 지정한 규칙만 보고하도록 auditd를 얻으려면 어떻게 해야 합니까? (리눅스)

명확한 규칙 목록을 사용하여 시스템을 다시 시작했지만 auditctlauditd는 여전히 콘텐츠를 보고합니다. 왜? 내가 원하는 것만 보고하도록 규칙을 추가하려면 어떻게 해야 합니까? 규칙을 추가하면 다른 것도 보고됩니다. 참고: 감사를 비활성화하고 싶지는 않습니다. 단지 내가 지정한 값으로 줄이기만 하면 됩니다.

# auditctl -D
# auditctl -l
No rules

# tail -f /var/log/audit/audit.log
type=CRED_DISP msg=audit(1488635581.867:12842): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1488635581.868:12843): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'

등.

여기서 무슨 일이 일어나고 있는 걸까요? 내가 원하는 규칙 외에는 아무 것도 기록하지 않게 하려면 어떻게 해야 합니까?

거의 효과가 없었지만 다음을 시도했습니다.

-a exclude,always

참고: 검토 버전 2.6.5, 커널: 3.10.0

관련 정보