我正在使用auditd。我不想在auditd中收集有关cron的日志,但它会收集cron。如果我不想收集aunditd日志,如何在audit.rules中制定规则
我写了auditctl -a never,exit -F exe=/usr/sbin/cron
但它不起作用
答案1
您可以尝试将以下auditd规则添加到/etc/audit/rules.d/audit.rules文件中:
-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t
之后,运行
augenrules --load
并重新启动auditd
service auditd restart
请注意,如果 SELinux 被禁用,这将不起作用