No meu /etc/rsyslog.conf , tenho a seguinte linha para registrar o recurso auth em /var/log/auth.log :
auth,authpriv.* /var/log/auth.log
mas o arquivo é inundado com registros cron, como estes:
CRON[18620]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[18620]: pam_unix(cron:session): session closed for user root
Eu gostaria de me livrar dos logs do cron e ter apenas eventos "auth" reais sendo registrados no arquivo. Com isso, quero ver quais usuários fizeram login no sistema ou fizeram su - .
Como posso conseguir isso?
Eu acredito que isso é o que você está procurando:
:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log
a primeira linha corresponde aos eventos cron auth e os exclui. A segunda linha, em seguida, registra como por sua regra, menos as linhas excluídas anteriormente.
Se um invasor puder controlar parte da mensagem registrada, ele poderá mascarar os eventos, filtrando o conteúdo da mensagem.
Como alternativa, você pode filtrar mensagens do processo CRON com:
#Continue logging CRON to syslog
*.*;auth,authpriv.none -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.* /var/log/auth.log
Se você não quiser que nenhum evento CRON seja registrado, poderá colocar a linha de filtro primeiro no seu rsyslog.conf .