这篇文章解释了如何停止写入系统日志的审计日志条目。
- 检查文件 /etc/audisp/plugins.d/syslog.conf 。
默认情况下,文件“/etc/audisp/plugins.d/syslog.conf 将包含以下行。
args = LOG_INFO
这将允许 syslog 将审计日志记录到 /var/log/messages 中。
此外,audit.d 也会将所有审计事件记录到 /var/log/audit/audit.log 中,这是我们通常用来检查审计事件的数据。
- 不需要复制 /var/log/messages 中的条目,它会不必要地增加文件大小并分散其他内核相关事件。
为避免这种情况,请按照以下步骤操作。
更改文件“/etc/audisp/plugins.d/syslog.conf”条目如下
将
args = LOG_INFO
修改成
args = LOG_LOCAL0
3.然后更改文件“/etc/rsyslog.conf”条目如下
将
*.info;mail.none;authpriv.none;cron.none /var/log/messages
改成
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
- 然后重启auditd和rsyslog服务。
# service auditd restart # service rsyslog restart
这将允许 audit.d 仅将审计日志记录到 /var/log/audit/audit.log 而不是 /var/log/messages。
日期:2020-09-17 00:11:01 来源:oir作者:oir