我希望所有审计日志都只在它自己的日志文件中,并保持我的 journalctl 视图不受大多数时间由我自己的操作(单用户/个人计算机)生成的事件的污染。
我已经找到了如何在arch wiki上完全禁用 auditd 或禁用审计事件的日志记录(?),然后我查看了auditd.conf实际log_file填写选项的位置,但它指向的文件不存在,一切正常只需登录日记。
# /etc/audit/auditd.conf
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
disp_qos = lossy
dispatcher = /usr/bin/audispd
name_format = NONE
##name = mydomain
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
# ...
看来 systemd-journald-audit 优先于审计事件,我的第一个想法是使用 rsyslog 规则,但似乎 Manjaro …
我正在尝试使用auditd来监视对目录的更改。问题是,当我设置规则时,它会监视我指定的目录,但也会监视它下面的所有子目录和文件,由于冗长而使监视无用。
这是我设置规则的方法:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
当我使用搜索日志时
ausearch -k raven-pubhtmlwatch
我从日志中得到了数千行,列出了public_html.
如何将规则限制为仅对指定的目录进行更改?