作者 主題: [求解]auditd.rules紀錄user下過的command並排除cronjob的record  (閱讀 3042 次)

0 會員 與 1 訪客 正在閱讀本文。

rextzeng

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
Hi 各位大大,
想請教各位一個問題。我想記錄所有人下的command在audit.log內。
但是遇到一個麻煩,就是有幾個cronjob會每5~10分鐘去做跑報表的前置作業。(這個行為無法取消或精簡)
這幾個cronjob就是不斷的做find、cp、mv、tar檔案,數量很大。
故此,導致我在蒐集command時會有750MB/30mins這樣龐大數量(如果不蒐集command,每天只有1xxMB)
##這是我目前所下的rules##
rex2266 ~# auditctl -l
-a never,user -F subj_type=crond_t
-a always,exit -S execve
##仍然無法排除##
已經參閱過內外許多網站,並閱讀至少近20文章
想請問各位大大是否有方法可以排除這樣的 audit log。
« 上次編輯: 2019-04-16 16:42 由 rextzeng »