Auditd 不允许在不同的文件中记录不同的过滤器(参见手册页)。是否有替代方案可以实现这一点,特别是分离账户活动?
答案1
- 将auditd日志发送到rsyslog
按 uid 过滤日志并将日志发送到特定文件
如果 $msg 包含 'uid=500' 则 /var/log/uid/500
是否有替代auditd 为每个过滤器启用不同日志文件的方法?
Auditd 不允许在不同的文件中记录不同的过滤器(参见手册页)。是否有替代方案可以实现这一点,特别是分离账户活动?
按 uid 过滤日志并将日志发送到特定文件
如果 $msg 包含 'uid=500' 则 /var/log/uid/500