Auditd 如何排除所有内容

Auditd 如何排除所有内容

我试图排除 Auditd 中我想要的所有内容,但是我尝试过的内容似乎记录了更多详细信息,其中大多数都是无关紧要的。

-a never,exclude -F msgtype=CWD
-a never,exclude -F msgtype=USER_ACCT
-a never,exclude -F msgtype=CONFIG_CHANGE
-a never,exclude -F msgtype=SERVICE_START
-a never,exclude -F msgtype=SERVICE_STOP
-a never,exclude -F msgtype=PROCTITLE

-a exit,never -F auid<100
-a exit,never -F uid<100

-a exit,never -F exe=/usr/sbin/mount.nfs
-a exit,never -F exe=/usr/sbin/automount

-a always,exit -F arch=b64 -S connect

我可以手动排除它们,但除了我想要记录的特定内容之外,不可能捕获所有内容。

所以问题是,我该如何配置它来排除除了您想要的东西之外的所有内容?

相关内容