如何防止使用 auditd 記錄 USER_AUTH 和 USER_LOGIN 事件

我正在嘗試使用 auditd 記錄對文件系統的更改，但我還看到許多其他內容被記錄，例如所有失敗的 SSH 記錄嘗試（USER_AUTH 和 USER_LOGIN 事件）。如何防止它們被記錄？當我這樣做時，auditctl -l我只看到路徑觀察規則而沒有其他規則。

對於審核日誌中不需要的內容，您可以將它們添加到排除過濾器中。所以如果你想排除登錄，你可以做

[root@finch jenny]# auditctl -a exclude,never -F msgtype=USER_AUTH
[root@finch jenny]# auditctl -a exclude,never -F msgtype=LOGIN

將停止記錄所有登錄，無論成功與否。有關如何創建這些規則的更多資訊，請參閱 auditctl 的手冊頁。

但是，您可以簡單地用於aureport搜尋您想要的日誌，而不是阻止您不需要的日誌。

引用自：https://serverfault.com/questions/855805