我正在尝试使用 auditd 记录对文件系统的更改,但我还看到许多其他内容被记录,例如所有失败的 SSH 记录尝试(USER_AUTH 和 USER_LOGIN 事件)。如何防止它们被记录?当我这样做时,auditctl -l我只看到路径观察规则而没有其他规则。
AskOverflow.Dev
对于审核日志中不需要的内容,您可以将它们添加到排除过滤器中。所以如果你想排除登录,你可以做
将停止记录所有登录,无论成功与否。有关如何创建这些规则的更多信息,请参阅 auditctl 的手册页。
但是,您可以简单地用于
aureport搜索您想要的日志,而不是阻止您不需要的日志。我想你会发现这些事件来自 pam 系统。也许 pam 中有一个选项可以阻止它进行审计。