鉱山には施設/etc/rsyslog.confにログインするための次の行があります。auth/var/log/auth.log
auth,authpriv.* /var/log/auth.log
ただし、ファイルは次のクローンログで埋められています。
CRON[18620]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[18620]: pam_unix(cron:session): session closed for user root
cronログを削除し、実際の「認証」イベントのみをこのファイルに記録したいと思います。私は、何人かのユーザーがシステムにログインしたかsu -。
どうすればいいですか?
ベストアンサー1
攻撃者が記録されたメッセージの一部を制御できる場合は、メッセージの内容をフィルタリングしてイベントを隠すことができます。
または、次のコマンドを使用して、CRONプロセスでメッセージをフィルタリングできます。
#Continue logging CRON to syslog
*.*;auth,authpriv.none -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.* /var/log/auth.log
CRONイベントが記録されたくない場合は、フィルタ行をrsyslog.conf。