GNU/Linux >> Znalost Linux >  >> Cent OS

Jak ignorovat/zakázat specifické auditované záznamy protokolování

Když povolíte auditované protokolování v systému Linux, generování protokolů může být ohromující. Někteří zákazníci mohou chtít zakázat auditované položky související s konkrétním příkazem/SYSCALL. Například níže uvedené položky jsou protokolovány pomocí auditd ( /var/log/messages )

type=CWD msg=audit(1464664627.639:1858714): cwd="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd"
type=PATH msg=audit(1464664627.639:1858714): item=0 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/" inode=17910851 dev=fc:03 mode=040740 ouid=1000 ogid=1001 rdev=00:00
type=PATH msg=audit(1464664627.639:1858714): item=1 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/D_P4_S0_I174383.xml" inode=17913267 dev=fc:03 mode=0100640 ouid=1000 ogid=1001 rdev=00:00
type=SYSCALL msg=audit(1464664627.639:1858715): arch=c000003e syscall=87 per=400000 success=yes exit=0 a0=7f8b5c002180 a1=180 a2=7f8b5c002180 a3=7f8e9e1e3278 items=2 ppid=31951 pid=34940 auid=1075 uid=1000 gid=1001 euid=1000 suid=1000 fsuid=1000 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=17377 comm="java" exe="/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java" key="delete"
Customer would like to disable them as they are not necessary to be logged-in.

Zakázání konkrétních auditovaných záznamů protokolování

1. Nejjednodušší způsob, jak to udělat, je jednoduše zakázat cestu z protokolování, například:

-W never,exclude -F path=/u01/app/oracle/emagent/12.1.0.3/ -k exclude

Výše uvedené vyloučí cestu /u01/app/oracle/emagent/12.1.0.3/ z protokolování auditem

2. Nebo jednoduše deaktivujte samostatná pravidla podle následujících příkladů:

-W never,exclude -F exe=/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java -k exclude
-W never,exclude -F cwd=/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd -k exclude
-W never,exclude -F inode=17910851 -k exclude
-W never,exclude -F inode=17913267 -k exclude

Příklady výše uvedených položek používají volbu jako inode/exe/cwd

3. Soubor, který je třeba upravit pro přidání všech výše uvedených pravidel, se nachází v - /etc/audit/audit.rules . Nezapomeňte také okomentovat v audit.rules pod záznamem:

# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

4. Pokud bylo povoleno „-e 2“, bude vyžadován restart. V normálních případech jednoduše restartujte auditovanou službu:

# service auditd restart

Další informace a příklady auditovaného pravidla naleznete na manuálové stránce auditctl.

# man auditctl
Můžete vyloučit konkrétní procesy při použití auditu k auditování systémových volání?
Jak vyloučit konkrétní uživatele, skupiny nebo služby pomocí Auditd k auditování systémových volání
Jak vyloučit soubor/adresář z auditovaných pravidel


Cent OS

  1. Jak zakázat přísný režim MySQL

  2. Centos – Jak zakázat koš?

  3. Jak zakázat Cryptswap?

  1. Jak vyloučit konkrétní adresáře z kopírování v Linuxu

  2. Jak použít příkaz 'cp' k vyloučení konkrétního adresáře?

  3. Jak zakázat ipv6 na konkrétním rozhraní v linuxu?

  1. Jak zakázat Bootchart?

  2. CentOS / RHEL 7 :Jak zakázat IPv6 pouze na konkrétním rozhraní

  3. Jak vyloučit soubor/adresář z auditovaných pravidel