私のaudit.logでは、次のイベントが繰り返し発生します。誰かがこれら6つの特定のエントリをブロックするaudit.rulesファイルルールの有効な構文を提供できますか?
type=
理想的には、フィルタを以下に示す6つだけでなく、および、およびuid=0
にもauid-4294967295
使用できるようにしたいと思います。ses=4294967295
exe=/bin/su
result=success
リモートで可能ですか?
-F msgtype=USER_AUTH
このフラグはルールでのみ機能することがわかりました。-a exclude
除外フラグと一緒に他のフラグを使用することはできません-F auid=4294967295
。たとえば、すべてのUSER_AUTHタイプを除外することはできず、基本イベントを見逃すことはできません。
node=testserver type=USER_AUTH msg=audit(1480608618.705:570): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_ACCT msg=audit(1480608618.705:571): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_ACQ msg=audit(1480608618.705:572): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_START msg=audit(1480608618.705:573): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_open acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_END msg=audit(1480608618.817:574): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_close acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_DISP msg=audit(1480608618.817:575): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'