禁用特定的审计日志条目

1. 最简单的方法是简单地从日志中禁用路径，例如：

-W never,exclude -F path=/u01/app/oracle/emagent/12.1.0.3/ -k exclude

以上将排除路径 /u01/app/oracle/emagent/12.1.0.3/ 被审计记录

2. 或者按照以下示例简单地禁用单独的规则：

-W never,exclude -F exe=/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java -k exclude
-W never,exclude -F cwd=/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd -k exclude
-W never,exclude -F inode=17910851 -k exclude
-W never,exclude -F inode=17913267 -k exclude

以上条目示例使用 inode/exe/cwd 等选项

3. 需要编辑以添加上述所有规则的文件位于/etc/audit/audit.rules 中。
   确保我们还在以下条目的 audit.rules 中发表注释：

# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

4. 如果启用了“-e 2”，则需要重新启动。
   在正常情况下，只需重新启动 auditd 服务：

# service auditd restart

有关 auditd 规则的更多信息和示例，请查看 auditctl 的手册页。

# man auditctl

在 Linux 系统上启用 auditd 日志记录时，日志的生成可能会非常繁重。
某些客户可能想要禁用与特定命令/SYSCALL 相关的审计条目。
例如，auditd ( /var/log/messages ) 正在记录以下条目

type=CWD msg=audit(1464664627.639:1858714): cwd="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd"
type=PATH msg=audit(1464664627.639:1858714): item=0 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/" inode=17910851 dev=fc:03 mode=040740 ouid=1000 ogid=1001 rdev=00:00
type=PATH msg=audit(1464664627.639:1858714): item=1
type=SYSCALL msg=audit(1464664627.639:1858715): arch=c000003e syscall=87 per=400000 success=yes exit=0 a0=7f8b5c002180 a1=180 a2=7f8b5c002180 a3=7f8e9e1e3278 items=2 ppid=31951 pid=34940 auid=1075 uid=1000 gid=1001 euid=1000 suid=1000 fsuid=1000 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=17377 comm="java" exe="/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java" key="delete"
Customer would like to disable them as they are not necessary to be logged-in.