明確なルールリストを使用してシステムを再起動しましたが、auditctlauditdはまだコンテンツを報告します。なぜ?必要なものだけを報告するルールを追加するにはどうすればよいですか?ルールを追加すると、他のものも報告されます。注:監査を無効にしたくありません。ちょうど私が指定した値に減らすだけです。
# auditctl -D
# auditctl -l
No rules
# tail -f /var/log/audit/audit.log
type=CRED_DISP msg=audit(1488635581.867:12842): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1488635581.868:12843): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
など。
ここで何が起こっているのでしょうか?私が望む規則以外に何も記録しないようにするにはどうすればよいですか?
ほとんど効果はありませんでしたが、次のことを試しました。
-a exclude,always
注:レビューバージョン2.6.5、カーネル:3.10.0