Hali!
Ilyen sorok gyűlnek dögivel a /var/log/audit/audit.log -ba:
1620. 2011-11-09 07:25:52 /dev/shm/ unlink yes /path/to/file userid 18110318
Ezeket szeretném ignorálni, amire valami ilyesmi a szabály:
auditctl -a exclude,never -F msgtype=...
Honnan tudom a fenti példa logfile-ból kitalálni az msgtype-ot, amit paraméterként kell megadni?
- 801 megtekintés
Hozzászólások
Jó az aureport, de ehhez kevés infót ad, inkább az audit.log -ot kell nézni.
Az exclude nem nyerő, mert az csak "-F msgtype" -ot eszik, ami nekem túl általánosnak tűnik.
Most próbálom az "exit,never" -t:
$ auditctl -a exit,never -F path=/path/to/file -k my_ignore_rule_1
$ auditctl -a exit,never -F dir=/path/to -k my_ignore_rule_2
Ezekkel viszont az a bajom, hogy ha konzolból adom ki, akkor az auditd kiszól, hogy immutable állapotban van, ha meg beírom az audit.rules végére (a "-e 2" elé), akkor meg hiába próbálkozom ezzel:
$ service auditd restart (merthogy ez RHEL6)
$ auditctl -l | grep my_ignore
nem kapok vissza sorokat.
- A hozzászóláshoz be kell jelentkezni