LINUX.ORG.RU
ФорумAdmin

Фильтр для сообщений auditd

 , , ,


0

2

Добрый день! Помогите разобраться с фильтром для логов audit'a.

Audit включен на терминальном сервере. При каждом логине пользователя пишется около 20 мб логов.

В логах много повторяющихся строк типа:

node=terminal type=PATH msg=audit(1398849020.299:615015): item=0 name=«/etc/fonts/conf.d/20-fix-globaladvance.conf» inode=135277 dev=fd:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=NORMAL

Можно как-то средствами audit'а писать все события кроме событий скажим из директории /etc/fonts/conf.d/ ?

Это один из примеров, но много строк где именно из одной директории,но разных файлов идет много событий.

Конфиг audit.rules:

# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl.

# First rule - delete all -D

# Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192

# Feel free to add below this line. See auditctl man page

-a always,exit -F arch=b32 -S open -F uid!=0 -a always,exit -F arch=b64 -S open -F uid!=0

Уже второй день мучаюсь, пытаясь заставить это работать. Помогите пожалуйста


Ответ на: комментарий от generator

Прописал...

При команде service auditd restart выдает:

Останавливается auditd: [ OK ] Запускается auditd: [ OK ] parameter passed without an option given There was an error in line 41 of /etc/audit/audit.rules

Ругается на что-то...

schedm ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.