私はauditdを使用しています。 cronのログ収集からauditdを除外するにはどうすればよいですか(ubuntu20.04)

私はauditdを使用しています。 cronのログ収集からauditdを除外するにはどうすればよいですか(ubuntu20.04)

私はauditdを使用しています。 auditdではcronのログを収集したくありませんが、cronは収集します。 auditdログを収集したくない場合は、audit.rulesでルールを作成する方法

私は auditctl -a never,exit -F exe=/usr/sbin/cron を書きました。

しかし、うまくいきません

答え1

/etc/audit/rules.d/audit.rules次の auditd ルールをファイルに追加してみることができます。

-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t

その後実行

augenrules --load

監査を再開してください。

service auditd restart

SELinuxが無効になっていると機能しません。

関連情報