dmesg 日志被审计淹没，我能以某种方式阻止它吗？

首先要说几点。您正在使用带有 App Armor 的 Transmission GTK。并且 AppArmor 正在生成这些消息。默认情况下，它将转到 dmesg。无法更改这一点。

其次，根据提供的屏幕截图，似乎正在运行的 auditd 服务尚未配置 apparmour 功能。这就是您在名称和其他字段中获得所有数值的原因。这让您感到很不舒服。请参阅此链接了解更多信息。它适用于 Mint 以外的发行版，但也适用于您的情况。要解决此问题，请在 Mint 支持论坛中提出讨论并提供相关详细信息，并询问他们如何使用 apparmour 功能配置 auditd 服务。附上相同的屏幕截图并要求他们用相关文本值替换数值。

第三，也是最后一点，您提供的问题链接有一些很好的建议。请看看这些建议是否有效。

现在我假设您不想禁用 auditd 服务。如果您正在考虑这样做，请不要这样做。您可以探索运行不带 App Armor 的 Transmission GTK 的选项，但这会降低您的在线安全性。

最后，当 App Armor 运行 Transmission GTK 时，可能有一种方法可以停止来自 App Armor 的审计消息。这不是完全可靠的，但可能有效。运行以下命令之一。最好使用第二个命令。

auditctl -A exclude,never -F pid=20279

或者

auditctl -A exclude,never -F path=Replace_This_With_Absolute_Path_To_TransmissionGTK

将 20279 替换为 Transmission GTK 进程的进程 ID。如果您使用第二个命令，请提供 Transmission GTK 的绝对路径。

强烈建议您使用第二个命令。如果它不起作用，则使用第一个。

命令说明

• -A = 这将在现有规则的开头添加一条规则。

  排除=过滤掉你不想看到的事件

  never = 不会生成任何审计记录

  -F = 建立规则。最多可以链接 64 个不同的规则。一个接一个。

  pid = 根据 PID 过滤规则。这很危险，因为进程 ID 会在重新启动或 Transmission GTK 关闭时发生变化。

  20279 = 此值是我从您附加的屏幕截图中获取的。必须将其替换为 Transmission GTK 的实际进程 ID。

  path = 根据绝对路径过滤规则。

auditd 的手册页中提供了更多详细信息。请仔细阅读。会对你有所帮助。

完成调查后，您不需要过滤来自 Transmission GTK 的审计消息，请执行以下命令删除规则

auditctl -d exclude,never -F pid=20279

或者

auditctl -d exclude,never -F path=Replace_This_With_Absolute_Path_To_TransmissionGTK

根据您实施的规则。将 20279 和 Replace_This_With_Absolute_Path_To_TransmissionGTK 替换为相关值。

编者注：

• 我必须根据手册页修改命令（并且它现在在重启后似乎可以工作）：

  # auditctl -a exclude,never -F exe=/usr/bin/transmission-gtk
  

• 不过，这条规则似乎无法在重启后继续存在。

• 我应该说，它一开始就告诉我，我没有auditd安装。所以，我自然而然地安装了它。我没有想到的是它本身就解决了问题，也许它确实解决了，因为在另一次重启后，我没有看到任何与 Transmission GTK 相关的消息dmesg！