我试图排除 Auditd 中我想要的所有内容,但是我尝试过的内容似乎记录了更多详细信息,其中大多数都是无关紧要的。
-a never,exclude -F msgtype=CWD
-a never,exclude -F msgtype=USER_ACCT
-a never,exclude -F msgtype=CONFIG_CHANGE
-a never,exclude -F msgtype=SERVICE_START
-a never,exclude -F msgtype=SERVICE_STOP
-a never,exclude -F msgtype=PROCTITLE
-a exit,never -F auid<100
-a exit,never -F uid<100
-a exit,never -F exe=/usr/sbin/mount.nfs
-a exit,never -F exe=/usr/sbin/automount
-a always,exit -F arch=b64 -S connect
我可以手动排除它们,但除了我想要记录的特定内容之外,不可能捕获所有内容。
所以问题是,我该如何配置它来排除除了您想要的东西之外的所有内容?