新しいEC2サーバーを起動するたびに、デフォルトのルールは次のとおりです。auditctl
はい
auditctl -a never,task
このルールの目的は何ですか?
ベストアンサー1
~からman auditctl
-a [list,action|action,list]
task Add a rule to the per task list. This rule list is
used only at the time a task is created -- when
fork() or clone() are called by the parent task.
When using this list, you should only use fields
that are known at task creation time, such as the
uid, gid, etc.
never No audit records will be generated. This can be used
to suppress event generation. In general, you want
suppressions at the top of the list instead of the
bottom. This is because the event triggers on the
first matching rule.
したがって、これにより監査ログのfork()
生成が停止されます。clone()
そうしないと、追加のCPUロード、およびI / Oおよびディスク使用量が発生する可能性があります。