我想过滤掉这些消息。它们是由每分钟运行的用户 crontabs 生成的:
type=USER_END msg=audit(1611873842.675:459608): pid=19114 uid=0 auid=10061 ses=480462 subj==unconfined msg='op=PAM:session_close acct="web59" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1611873842.695:459609): pid=19115 uid=0 auid=10144 ses=480463 subj==unconfined msg='op=PAM:setcred acct="web137" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
我无法按用户 ID 进行过滤,因为用户 ID 正在发生变化。当新用户添加到系统中时,我不想手动将他们添加到 auditd。因此唯一的可能性是按消息内容进行过滤。但我该怎么做呢?