Auditd 规则使用 acct 字段排除消息

Auditd 规则使用 acct 字段排除消息

有没有办法使用 auditd 过滤规则来排除包含 acct 字段的日志消息?

我可以使用 auid 字段排除一些消息,但不幸的是,我收到了跨多个用户帐户的消息。我当前的规则如下,仅适用于 auid=80004(即测试用户):

-a exclude,always -F auid=test

以下是我在日志中看到的肮脏样本:

type=USER_START msg=audit(1695832501.671:9331550): pid = 22100 uid=0 auid=4294967295 subj=xxxx msg='op=pubkey_auth rport=xxxx acct="test" exe="xxxx" hostname=? addr=xxxx terminal=? res=success'
type=USER_AUTH msg=audit(1695832501.712.9331801): pid = 23839 uid=0 auid=80004 subj=xxxx msg='op=pubkey_auth acct="test" exe="xxxx" hostname=server1 addr=xxxx terminal=ssh res=success'

如您所见,我有多个用户帐户报告与 acct="test" 有关的消息,我想根据该字段过滤掉这些消息。我意识到我可以根据多个 auid 进行过滤,但如果可能的话,我更愿意使用 acct= 字段。

相关内容