Wenn Sie die auditd-Protokollierung auf einem Linux-System aktivieren, kann die Generierung von Protokollen überwältigend sein. Einige Kunden möchten möglicherweise auditd-Einträge deaktivieren, die sich auf einen bestimmten Befehl/SYSCALL beziehen. Beispielsweise werden die folgenden Einträge von auditd ( /var/log/messages )
protokollierttype=CWD msg=audit(1464664627.639:1858714): cwd="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd" type=PATH msg=audit(1464664627.639:1858714): item=0 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/" inode=17910851 dev=fc:03 mode=040740 ouid=1000 ogid=1001 rdev=00:00 type=PATH msg=audit(1464664627.639:1858714): item=1 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/D_P4_S0_I174383.xml" inode=17913267 dev=fc:03 mode=0100640 ouid=1000 ogid=1001 rdev=00:00 type=SYSCALL msg=audit(1464664627.639:1858715): arch=c000003e syscall=87 per=400000 success=yes exit=0 a0=7f8b5c002180 a1=180 a2=7f8b5c002180 a3=7f8e9e1e3278 items=2 ppid=31951 pid=34940 auid=1075 uid=1000 gid=1001 euid=1000 suid=1000 fsuid=1000 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=17377 comm="java" exe="/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java" key="delete" Customer would like to disable them as they are not necessary to be logged-in.
Deaktivieren bestimmter auditd-Protokollierungseinträge
1. Am einfachsten ist es, den Pfad einfach aus der Protokollierung zu deaktivieren, zum Beispiel:
-W never,exclude -F path=/u01/app/oracle/emagent/12.1.0.3/ -k exclude
Oben wird der Pfad /u01/app/oracle/emagent/12.1.0.3/ von der Protokollierung durch auditd ausgeschlossen
2. Oder deaktivieren Sie einfach separate Regeln, indem Sie die folgenden Beispiele befolgen:
-W never,exclude -F exe=/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java -k exclude -W never,exclude -F cwd=/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd -k exclude -W never,exclude -F inode=17910851 -k exclude -W never,exclude -F inode=17913267 -k exclude
Die Beispiele für die obigen Einträge verwenden Optionen wie inode/exe/cwd
3. Die Datei, die bearbeitet werden muss, um alle oben genannten Regeln hinzuzufügen, befindet sich in /etc/audit/audit.rules . Stellen Sie sicher, dass Sie auch in audit.rules den folgenden Eintrag kommentieren:
# Make the configuration immutable -- reboot is required to change audit rules #-e 2
4. Ein Neustart ist erforderlich, wenn „-e 2“ aktiviert wurde. Im Normalfall starten Sie einfach den auditd-Dienst neu:
# service auditd restart
Weitere Informationen und Beispiele für auditd-Regeln finden Sie auf der Manpage von auditctl.
# man auditctlKönnen Sie bestimmte Prozesse ausschließen, wenn Sie auditd zum Auditieren von Systemaufrufen verwenden?
So schließen Sie bestimmte Benutzer, Gruppen oder Dienste mit Auditd aus, um Systemaufrufe zu auditieren
So schließen Sie eine Datei/ein Verzeichnis von auditd-Regeln aus