Dieser Beitrag erklärt, wie man Audit-Log-Einträge stoppt, die in Systemlogs geschrieben werden.
1. Überprüfen Sie die Datei /etc/audisp/plugins.d/syslog.conf . Standardmäßig enthält die Datei „/etc/audisp/plugins.d/syslog.conf“ die folgende Zeile.
args = LOG_INFO
Dadurch kann Syslog Überwachungsprotokolle in /var/log/messages protokollieren . Außerdem audit.d protokolliert alle Audit-Ereignisse in /var/log/audit/audit.log auch und dies sind die Daten, die wir normalerweise verwenden, um Audit-Ereignisse zu überprüfen.
2. Das Duplizieren der Einträge in /var/log/messages ist nicht erforderlich und erhöht unnötigerweise die Dateigröße und verstreut die anderen Kernel-bezogenen Ereignisse. Um dies zu vermeiden, führen Sie die folgenden Schritte aus.
Ändern Sie die Datei „/etc/audisp/plugins.d/syslog.conf ” Eintrag wie unten
Von:
args = LOG_INFO
zu:
args = LOG_LOCAL0
3. Ändern Sie dann die Datei „/etc/rsyslog.conf ” Eintrag wie unten
Von:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
zu
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Starten Sie dann die Dienste auditd und rsyslog neu.
# service auditd restart # service rsyslog restart
Dadurch kann audit.d Prüfprotokolle nur in /var/log/audit/audit.log und nicht in /var/log/messages protokollieren.