我希望所有审计日志都只在它自己的日志文件中,并保持我的 journalctl 视图不受大多数时间由我自己的操作(单用户/个人计算机)生成的事件的污染。
我已经找到了如何在arch wiki上完全禁用 auditd 或禁用审计事件的日志记录(?),然后我查看了auditd.conf实际log_file填写选项的位置,但它指向的文件不存在,一切正常只需登录日记。
# /etc/audit/auditd.conf
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
disp_qos = lossy
dispatcher = /usr/bin/audispd
name_format = NONE
##name = mydomain
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
# ...
看来 systemd-journald-audit 优先于审计事件,我的第一个想法是使用 rsyslog 规则,但似乎 Manjaro …