我正在使用第三方日志服务(LogDNA)来集中管理我的服务器日志,但是安装在服务器上的代理实际上导致了额外和不必要的日志的生成。
我的审计政策包括以下内容:
-w /var/log/audit -p rwxa -k auditlog
它监视目录中任何文件的活动/var/log/audit
。代理大约每秒读取一次文件,导致 4 行写入日志:
type=SYSCALL msg=audit(1571391173.197:314775): arch=c000003e syscall=257 success=yes exit=13 a0=ffffff9c a1=3453780 a2=80000 a3=0 items=1 ppid=1 pid=16253 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="logdna-agent" exe="/usr/bin/logdna-agent" key="auditlog"
type=CWD msg=audit(1571391173.197:314775): cwd="/"
type=PATH msg=audit(1571391173.197:314775): item=0 name="/var/log/audit/audit.log" inode=49 dev=07:03 mode=0100640 ouid=0 ogid=4 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PROCTITLE msg=audit(1571391173.197:314775): proctitle="logdna-agent"
这大大增加了我所接收的每个服务器的日志量,并且显然增加了成本。
问题是,我可以在审计策略中指定忽略来自特定进程的读取吗?
我正在运行 Ubuntu 18.04。
注意:LogDNA 确实提供了过滤功能,但实际上这只能针对指定的 2 行进行log-dna
。