Назад | Перейти на главную страницу

Ubuntu - не применять политику аудита для определенного процесса

Я использую стороннюю службу ведения журналов (LogDNA) для централизации журналов сервера, но установленный на сервере агент фактически вызывает создание дополнительных и ненужных журналов.

Моя политика аудита включает строку:

-w /var/log/audit -p rwxa -k auditlog

который отслеживает любые действия с любыми файлами в /var/log/audit каталог. Агент читает файлы примерно раз в секунду, в результате чего в журнал записываются 4 строки:

type=SYSCALL msg=audit(1571391173.197:314775): arch=c000003e syscall=257 success=yes exit=13 a0=ffffff9c a1=3453780 a2=80000 a3=0 items=1 ppid=1 pid=16253 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="logdna-agent" exe="/usr/bin/logdna-agent" key="auditlog" 
type=CWD msg=audit(1571391173.197:314775): cwd="/" 
type=PATH msg=audit(1571391173.197:314775): item=0 name="/var/log/audit/audit.log" inode=49 dev=07:03 mode=0100640 ouid=0 ogid=4 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0 
type=PROCTITLE msg=audit(1571391173.197:314775): proctitle="logdna-agent"

Это резко увеличивает объем журналов на каждый сервер, который я загружаю, с очевидными дополнительными затратами.

Вопрос в том, могу ли я указать в политике аудита игнорировать чтение из определенного процесса?

Я использую Ubuntu 18.04.

NB. LogDNA предлагает фильтрацию на своей стороне, но реально это могло быть сделано только для двух строк, которые указывают log-dna.