Postingan ini menjelaskan cara menghentikan entri log audit yang ditulis ke log sistem.
1. Periksa file /etc/audisp/plugins.d/syslog.conf . Secara default, file “/etc/audisp/plugins.d/syslog.conf akan memiliki baris di bawah ini.
args = LOG_INFO
Ini akan memungkinkan syslog untuk mencatat log audit ke /var/log/messages . Selain itu audit.d akan mencatat semua peristiwa audit ke /var/log/audit/audit.log juga dan ini adalah data yang biasanya kami gunakan untuk memeriksa peristiwa audit.
2. Menggandakan entri di /var/log/messages tidak diperlukan dan itu akan meningkatkan ukuran file yang tidak perlu dan menyebarkan peristiwa terkait kernel lainnya. Untuk menghindarinya, ikuti langkah-langkah di bawah ini.
Ubah file “/etc/audisp/plugins.d/syslog.conf ” entri seperti di bawah ini
Dari:
args = LOG_INFO
ke:
args = LOG_LOCAL0
3. Kemudian ubah file “/etc/rsyslog.conf ” entri seperti di bawah ini
Dari:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
untuk
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Kemudian restart layanan auditd dan rsyslog.
# service auditd restart # service rsyslog restart
Ini akan memungkinkan audit.d untuk mencatat log audit hanya ke /var/log/audit/audit.log dan tidak ke /var/log/messages.