Auditd
如何防止使用 auditd 記錄 USER_AUTH 和 USER_LOGIN 事件
我正在嘗試使用 auditd 記錄對文件系統的更改,但我還看到許多其他內容被記錄,例如所有失敗的 SSH 記錄嘗試(USER_AUTH 和 USER_LOGIN 事件)。如何防止它們被記錄?當我這樣做時,
auditctl -l
我只看到路徑觀察規則而沒有其他規則。
對於審核日誌中不需要的內容,您可以將它們添加到排除過濾器中。所以如果你想排除登錄,你可以做
[root@finch jenny]# auditctl -a exclude,never -F msgtype=USER_AUTH [root@finch jenny]# auditctl -a exclude,never -F msgtype=LOGIN
將停止記錄所有登錄,無論成功與否。有關如何創建這些規則的更多資訊,請參閱 auditctl 的手冊頁。
但是,您可以簡單地用於
aureport
搜尋您想要的日誌,而不是阻止您不需要的日誌。