Lorsque vous activez la journalisation auditd sur un système Linux, la génération de journaux peut être écrasante. Certains clients peuvent vouloir désactiver une entrée auditd liée à une commande/SYSCALL spécifique. Par exemple, les entrées ci-dessous sont enregistrées par auditd ( /var/log/messages )
type=CWD msg=audit(1464664627.639:1858714): cwd="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd" type=PATH msg=audit(1464664627.639:1858714): item=0 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/" inode=17910851 dev=fc:03 mode=040740 ouid=1000 ogid=1001 rdev=00:00 type=PATH msg=audit(1464664627.639:1858714): item=1 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/D_P4_S0_I174383.xml" inode=17913267 dev=fc:03 mode=0100640 ouid=1000 ogid=1001 rdev=00:00 type=SYSCALL msg=audit(1464664627.639:1858715): arch=c000003e syscall=87 per=400000 success=yes exit=0 a0=7f8b5c002180 a1=180 a2=7f8b5c002180 a3=7f8e9e1e3278 items=2 ppid=31951 pid=34940 auid=1075 uid=1000 gid=1001 euid=1000 suid=1000 fsuid=1000 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=17377 comm="java" exe="/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java" key="delete" Customer would like to disable them as they are not necessary to be logged-in.
Désactivation d'entrées de journalisation auditd spécifiques
1. Le moyen le plus simple consiste à désactiver simplement le chemin de la journalisation, par exemple :
-W never,exclude -F path=/u01/app/oracle/emagent/12.1.0.3/ -k exclude
Ci-dessus exclura le chemin /u01/app/oracle/emagent/12.1.0.3/ d'être enregistré par auditd
2. Ou désactivez simplement des règles distinctes en suivant les exemples ci-dessous :
-W never,exclude -F exe=/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java -k exclude -W never,exclude -F cwd=/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd -k exclude -W never,exclude -F inode=17910851 -k exclude -W never,exclude -F inode=17913267 -k exclude
Les exemples d'entrées ci-dessus utilisent une option comme inode/exe/cwd
3. Le fichier qui doit être modifié pour ajouter toutes les règles ci-dessus se trouve dans- /etc/audit/audit.rules . Assurez-vous également de commenter dans audit.rules sous l'entrée :
# Make the configuration immutable -- reboot is required to change audit rules #-e 2
4. Un redémarrage sera nécessaire si "-e 2" a été activé. Dans des cas normaux, redémarrez simplement le service auditd :
# service auditd restart
Pour plus d'informations et des exemples de règle auditd, consultez la page de manuel de auditctl.
# man auditctlPouvez-vous exclure des processus spécifiques lorsque vous utilisez auditd pour auditer les appels système ?
Comment exclure des utilisateurs, des groupes ou des services spécifiques avec Auditd pour auditer les appels système
Comment exclure un fichier/répertoire des règles auditd