.png)
重新启动系统,使用 清除规则列表auditctl,但auditd 仍然报告内容。为什么?如何添加规则以仅报告我想要的内容?当我添加规则时,也会报告其他内容。注意:我不想禁用审核;只需将其减少到我指定的值即可。
# auditctl -D
# auditctl -l
No rules
# tail -f /var/log/audit/audit.log
type=CRED_DISP msg=audit(1488635581.867:12842): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1488635581.868:12843): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
等等。
这里发生了什么?除了我想要的规则之外,如何让它不记录任何内容?
几乎没有效果,我尝试过:
-a exclude,always
仅供参考:审核版本 2.6.5,内核:3.10.0