如何停止 journalctl 显示审计日志并仅将其保存在文件中？

Question

我做了功课，把所有东西都记录到文件中，而不是 syslog/journal 中。从表面上看，默认情况下，systemd 会为内核的审计事件设置自己的监听器，并将它们记录到 syslog/journal 中。另一种方法是使用auditd读取这些事件并将其记录到可配置的日志文件中。

禁用 systemd 的审计事件日志记录：

systemctl stop systemd-journald-audit.socket 
systemctl disable systemd-journald-audit.socket

# masking will prevent starting by other services
# 'systemctl unmask' to reverse
systemctl mask systemd-journald-audit.socket

审计事件可能仍会记录到日志中，直到您重新启动。

设置`auditd`

安装或确保auditd包已安装，根据发行版的不同可能会有不同的名称，在撰写本文时，它audit适用于基于 Arch 的 Manjaro。

配置文件

的位置auditd.conf似乎不同（在线手册页有不同的位置），请参阅您的man auditd.conf。

下面的配置应该可以解决问题，确保/var/log/audit/存在。

# /etc/audit/auditd.conf

local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 5                  # after how many messages to explicitly flush
max_log_file = 8          # size in MB per one log file
num_logs = 5              # keep n amount of rotated logs

#  ... truncated

此文件已存在于我的系统中，并具有一些合理的默认值，但这些似乎是日志记录最重要的选项。如果不存在，您应该查阅手册页，另一个可能重要的选项是dispatcher=，如果您正在使用审计规则（audispd，/etc/audit/rules.d/）。

Systemd 单元`auditd`

auditd 软件包附带有自己的 systemd 单元文件，位于 /usr/lib/systemd/system/auditd.service。服务文件中有一些注释，请务必阅读以检查这些注释是否适用。

将该文件复制到/etc/systemd/system/auditd.service，然后发出

systemctl daemon-reload

systemctl start auditd.service
systemctl enable auditd.service # will be auto started with system

这一切都适用于我的系统，即5.9.10-1 kernel带有systemd 246和的Manjaro audit version 2.8.5。用于将审计事件记录到 syslog/journal 的 systemd 单元可能名称不同，并且 auditd 的 systemd 单元的存在及其配置路径在其他发行版中可能不同。

Answer 1

我做了功课，把所有东西都记录到文件中，而不是 syslog/journal 中。从表面上看，默认情况下，systemd 会为内核的审计事件设置自己的监听器，并将它们记录到 syslog/journal 中。另一种方法是使用auditd读取这些事件并将其记录到可配置的日志文件中。

禁用 systemd 的审计事件日志记录：

systemctl stop systemd-journald-audit.socket 
systemctl disable systemd-journald-audit.socket

# masking will prevent starting by other services
# 'systemctl unmask' to reverse
systemctl mask systemd-journald-audit.socket

审计事件可能仍会记录到日志中，直到您重新启动。

设置`auditd`

安装或确保auditd包已安装，根据发行版的不同可能会有不同的名称，在撰写本文时，它audit适用于基于 Arch 的 Manjaro。

配置文件

的位置auditd.conf似乎不同（在线手册页有不同的位置），请参阅您的man auditd.conf。

下面的配置应该可以解决问题，确保/var/log/audit/存在。

# /etc/audit/auditd.conf

local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 5                  # after how many messages to explicitly flush
max_log_file = 8          # size in MB per one log file
num_logs = 5              # keep n amount of rotated logs

#  ... truncated

此文件已存在于我的系统中，并具有一些合理的默认值，但这些似乎是日志记录最重要的选项。如果不存在，您应该查阅手册页，另一个可能重要的选项是dispatcher=，如果您正在使用审计规则（audispd，/etc/audit/rules.d/）。

Systemd 单元`auditd`

auditd 软件包附带有自己的 systemd 单元文件，位于 /usr/lib/systemd/system/auditd.service。服务文件中有一些注释，请务必阅读以检查这些注释是否适用。

将该文件复制到/etc/systemd/system/auditd.service，然后发出

systemctl daemon-reload

systemctl start auditd.service
systemctl enable auditd.service # will be auto started with system

这一切都适用于我的系统，即5.9.10-1 kernel带有systemd 246和的Manjaro audit version 2.8.5。用于将审计事件记录到 syslog/journal 的 systemd 单元可能名称不同，并且 auditd 的 systemd 单元的存在及其配置路径在其他发行版中可能不同。

如何停止 journalctl 显示审计日志并仅将其保存在文件中？

答案1

禁用 systemd 的审计事件日志记录：

设置`auditd`

配置文件

Systemd 单元`auditd`

相关内容

答案1

禁用 systemd 的审计事件日志记录：

设置auditd

配置文件

Systemd 单元auditd

相关内容

设置`auditd`

Systemd 单元`auditd`