Tento příspěvek vysvětluje, jak zastavit záznamy protokolu auditu zapisované do systémových protokolů.
1. Zkontrolujte soubor /etc/audisp/plugins.d/syslog.conf . Ve výchozím nastavení bude mít soubor “/etc/audisp/plugins.d/syslog.conf níže uvedený řádek.
args = LOG_INFO
To umožní systému syslog protokolovat protokoly auditu do /var/log/messages . Kromě toho audit.d zaznamená všechny události auditu do /var/log/audit/audit.log také a toto jsou data, která běžně používáme ke kontrole událostí auditu.
2. Duplikování položek v /var/log/messages není vyžadováno a zbytečně to zvětší velikost souboru a rozhází další události související s jádrem. Chcete-li se tomu vyhnout, postupujte podle níže uvedených kroků.
Změňte soubor „/etc/audisp/plugins.d/syslog.conf ” vstup, jak je uvedeno níže
Od:
args = LOG_INFO
komu:
args = LOG_LOCAL0
3. Poté změňte soubor „/etc/rsyslog.conf ” vstup, jak je uvedeno níže
Od:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
do
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Poté restartujte služby auditd a rsyslog.
# service auditd restart # service rsyslog restart
To umožní audit.d protokolovat protokoly auditu pouze do /var/log/audit/audit.log a nikoli do /var/log/messages.