GNU/Linux >> Belajar Linux >  >> Cent OS

Cara Mengabaikan/Menonaktifkan Entri Logging auditd Tertentu

Saat Anda mengaktifkan auditd logging pada sistem Linux, pembuatan log bisa sangat banyak. Beberapa pelanggan mungkin ingin menonaktifkan entri auditd yang terkait dengan perintah/SYSCALL tertentu. Misalnya, entri di bawah ini sedang dicatat oleh auditd ( /var/log/messages )

type=CWD msg=audit(1464664627.639:1858714): cwd="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd"
type=PATH msg=audit(1464664627.639:1858714): item=0 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/" inode=17910851 dev=fc:03 mode=040740 ouid=1000 ogid=1001 rdev=00:00
type=PATH msg=audit(1464664627.639:1858714): item=1 name="/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd/upload/upload/stream0/D_P4_S0_I174383.xml" inode=17913267 dev=fc:03 mode=0100640 ouid=1000 ogid=1001 rdev=00:00
type=SYSCALL msg=audit(1464664627.639:1858715): arch=c000003e syscall=87 per=400000 success=yes exit=0 a0=7f8b5c002180 a1=180 a2=7f8b5c002180 a3=7f8e9e1e3278 items=2 ppid=31951 pid=34940 auid=1075 uid=1000 gid=1001 euid=1000 suid=1000 fsuid=1000 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=17377 comm="java" exe="/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java" key="delete"
Customer would like to disable them as they are not necessary to be logged-in.

Menonaktifkan entri logging auditd tertentu

1. Cara termudah untuk dilakukan adalah dengan menonaktifkan jalur dari Logging misalnya:

-W never,exclude -F path=/u01/app/oracle/emagent/12.1.0.3/ -k exclude

Di atas akan mengecualikan jalur /u01/app/Oracle/emagent/12.1.0.3/ agar tidak dicatat oleh auditd

2. Atau cukup nonaktifkan aturan terpisah dengan mengikuti contoh di bawah ini:

-W never,exclude -F exe=/u01/app/oracle/emagent/12.1.0.3/core/12.1.0.5.0/jdk/bin/java -k exclude
-W never,exclude -F cwd=/u01/app/oracle/emagent/12.1.0.3/agent_inst/sysman/emd -k exclude
-W never,exclude -F inode=17910851 -k exclude
-W never,exclude -F inode=17913267 -k exclude

Contoh entri di atas menggunakan opsi seperti inode/exe/cwd

3. File yang perlu diedit untuk menambahkan semua aturan di atas terletak di- /etc/audit/audit.rules . Pastikan Anda juga berkomentar di entri audit.rules di bawah ini:

# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

4. Reboot akan diperlukan jika “-e 2” diaktifkan. Dalam kasus normal, cukup mulai ulang layanan auditd:

# service auditd restart

Untuk informasi lebih lanjut dan contoh aturan auditd, periksa halaman manual auditctl.

# man auditctl
Bisakah Anda mengecualikan proses tertentu saat menggunakan auditd untuk mengaudit syscalls?
Bagaimana cara mengecualikan pengguna, grup, atau layanan tertentu dengan Auditd untuk mengaudit syscalls
Cara mengecualikan file/direktori dari aturan auditd


Cent OS

  1. Cara Mengecualikan Direktori Tertentu Dari Menyalin Di Linux

  2. Centos – Bagaimana Cara Menonaktifkan Sampah?

  3. Bagaimana Cara Menonaktifkan Cryptswap?

  1. CentOS / RHEL 7 :Cara menonaktifkan IPv6 hanya pada antarmuka tertentu

  2. Cara mengecualikan file/direktori dari aturan auditd

  3. Cara menggunakan auditd untuk memantau SYSCALL tertentu

  1. Cara Menonaktifkan Atau Memperpanjang Batas Kecepatan Logging Sistem pada CentOS/RHEL 6

  2. Cara Menonaktifkan Atau Memperpanjang Batas Kecepatan Pencatatan Sistem pada CentOS/RHEL 7

  3. Cara menonaktifkan perintah khusus untuk pengguna tertentu di Linux