lalebarde Asked: 2018-09-25 10:34:26 +0800 CST2018-09-25 10:34:26 +0800 CST 2018-09-25 10:34:26 +0800 CST 是否有替代 auditd 为每个过滤器启用不同日志文件的替代方法? 772 Auditd 不允许在不同文件中记录不同的过滤器(参见手册页)。是否有替代方案使其成为可能,特别是分离账户活动? linux-audit 1 个回答 Voted Best Answer lalebarde 2018-09-27T08:58:59+08:002018-09-27T08:58:59+08:00 将 auditd 日志发送到 rsyslog 按 uid 过滤日志并将日志发送到特定文件 如果 $msg 包含 'uid=500' 那么 /var/log/uid/500
按 uid 过滤日志并将日志发送到特定文件
如果 $msg 包含 'uid=500' 那么 /var/log/uid/500