顯示文章
1
Linux 討論版 / [求解]auditd.rules紀錄user下過的command並排除cronjob的record
« 於: 2019-03-11 18:40 »
Hi 各位大大,
想請教各位一個問題。我想記錄所有人下的command在audit.log內。
但是遇到一個麻煩,就是有幾個cronjob會每5~10分鐘去做跑報表的前置作業。(這個行為無法取消或精簡)
這幾個cronjob就是不斷的做find、cp、mv、tar檔案,數量很大。
故此,導致我在蒐集command時會有750MB/30mins這樣龐大數量(如果不蒐集command,每天只有1xxMB)
##這是我目前所下的rules##
rex2266 ~# auditctl -l
-a never,user -F subj_type=crond_t
-a always,exit -S execve
##仍然無法排除##
已經參閱過內外許多網站,並閱讀至少近20文章
想請問各位大大是否有方法可以排除這樣的 audit log。
想請教各位一個問題。我想記錄所有人下的command在audit.log內。
但是遇到一個麻煩,就是有幾個cronjob會每5~10分鐘去做跑報表的前置作業。(這個行為無法取消或精簡)
這幾個cronjob就是不斷的做find、cp、mv、tar檔案,數量很大。
故此,導致我在蒐集command時會有750MB/30mins這樣龐大數量(如果不蒐集command,每天只有1xxMB)
##這是我目前所下的rules##
rex2266 ~# auditctl -l
-a never,user -F subj_type=crond_t
-a always,exit -S execve
##仍然無法排除##
已經參閱過內外許多網站,並閱讀至少近20文章
想請問各位大大是否有方法可以排除這樣的 audit log。