这篇文章解释了如何停止写入系统日志的审计日志条目。

1. 检查文件 /etc/audisp/plugins.d/syslog.conf 。
   默认情况下，文件“/etc/audisp/plugins.d/syslog.conf 将包含以下行。

args = LOG_INFO

这将允许 syslog 将审计日志记录到 /var/log/messages 中。
此外，audit.d 也会将所有审计事件记录到 /var/log/audit/audit.log 中，这是我们通常用来检查审计事件的数据。

2. 不需要复制 /var/log/messages 中的条目，它会不必要地增加文件大小并分散其他内核相关事件。
   为避免这种情况，请按照以下步骤操作。

更改文件“/etc/audisp/plugins.d/syslog.conf”条目如下

将

args = LOG_INFO

修改成

args = LOG_LOCAL0

3.然后更改文件“/etc/rsyslog.conf”条目如下

将

*.info;mail.none;authpriv.none;cron.none /var/log/messages

改成

*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages

4. 然后重启auditd和rsyslog服务。

# service auditd restart
# service rsyslog restart

这将允许 audit.d 仅将审计日志记录到 /var/log/audit/audit.log 而不是 /var/log/messages。