我已经启用了auditd基于某些规则的日志收集功能,一切运行正常。我想知道是否有办法归档类型的审计(例如用户登录) 基于地址或者主机名?
例如下面的日志有addr=192.168.2.59,我不想把它记录在我的日志里,但是其他人地址需要记录
type=USER_LOGIN msg=audit(1528028722.288:12745): pid=16121 uid=0 auid=54321 ses=28 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=54321 exe="/ usr/sbin/sshd" hostname=192.168.2.59 addr=192.168.2.59 terminal=ssh res=success'
有什么建议吗?