Você reiniciou o serviço auditd? /etc/init.d/auditd restart ou service auditd restart
Quais eventos estão sendo criados nos arquivos /var/log/audit/audit.log?
Eu recentemente tentei usar o auditd para encontrar o que está criando arquivos tmp em um sistema operacional CentOS 5 x64. Eu removi as regras:
# auditctl -l
No rules
mas há muita escrita nos logs auditd. Se eu verificar os logs usando ssh:
# watch ls -la /var/log/audit/
auditd escreve 2kb / s. Se eu verificar com o samba - ele gira 5MB arquivo de log a cada segundo. Se eu verificá-lo via ssh e usar o samba para abrir um diretório - ele grava 1 MB cada vez que eu abro um diretório. Estou comparando isso ao meu servidor do CentOS 6 que não grava em logs enquanto os verifico via ssh. Só escreve quando faço login / logout via ssh.
Eu não mudei a configuração.
Atualização : após a reinicialização do servidor, o auditd não está mais gravando tantos dados. Ainda escreve algo, mas não inunda. Aqui está o que está escrevendo agora:
type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
E não há regras - auditctl -l não mostra nada. Existe alguma coisa além das regras que podem fazer com que o auditd escreva nos logs?
Você reiniciou o serviço auditd? /etc/init.d/auditd restart ou service auditd restart
Quais eventos estão sendo criados nos arquivos /var/log/audit/audit.log?