auditd 发送日志到/var/logs/messages
我们想要禁用它。怎么做?
/etc/audisp/plugins.d/syslog.conf
我已更改active = no
但仍向 syslog 发送大量信息
答案1
编辑/etc/audisp/plugins.d
并更改args = LOG_INFO
为:args = local6
然后编辑/etc/rsyslog.conf
并添加local6
到“一些捕获所有日志文件”块,如下所示:
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none;\
local6.none -/var/log/messages
还将该行更改args =
为/etc/audisp/plugins.d
:
args = LOG_LOCAL6
这是改编自这个帖子。