Cet article explique comment arrêter les entrées de journal d'audit écrites dans les journaux système.
1. Vérifiez le fichier /etc/audisp/plugins.d/syslog.conf . Par défaut, le fichier "/etc/audisp/plugins.d/syslog.conf aura la ligne ci-dessous.
args = LOG_INFO
Cela permettra à syslog de consigner les journaux d'audit dans /var/log/messages . De plus audit.d enregistrera tous les événements d'audit dans /var/log/audit/audit.log aussi et ce sont les données que nous utilisons normalement pour vérifier les événements d'audit.
2. La duplication des entrées dans /var/log/messages n'est pas nécessaire et cela augmentera inutilement la taille du fichier et dispersera les autres événements liés au noyau. Pour éviter cela, suivez les étapes ci-dessous.
Modifiez le fichier "/etc/audisp/plugins.d/syslog.conf ” entrée comme ci-dessous
De :
args = LOG_INFO
à :
args = LOG_LOCAL0
3. Modifiez ensuite le fichier « /etc/rsyslog.conf ” entrée comme ci-dessous
De :
*.info;mail.none;authpriv.none;cron.none /var/log/messages
à
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Redémarrez ensuite les services auditd et rsyslog.
# service auditd restart # service rsyslog restart
Cela permettra à audit.d de consigner les journaux d'audit uniquement dans /var/log/audit/audit.log et non dans /var/log/messages.