Reiniciou o sistema, limpou a lista de regras com auditctl , mas o auditd ainda relata as coisas. Por quê? Como adiciono regras para relatar somente o que eu quero? Quando adiciono uma regra, outras coisas são informadas também. Nota: não quero desativar a auditoria; basta reduzi-lo ao que eu especificar.
# auditctl -D
# auditctl -l
No rules
# tail -f /var/log/audit/audit.log
type=CRED_DISP msg=audit(1488635581.867:12842): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1488635581.868:12843): pid=28488 uid=0 auid=26 ses=5324 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="postgres" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
Et cetra.
O que está acontecendo aqui? Como obtenho para registrar nada, exceto as regras que eu quero?
Quase sem efeito, tentei:
-a exclude,always
FYI: auditar a versão 2.6.5, kernel: 3.10.0
Tags linux linux-audit