Назад | Перейти на главную страницу

Auditd как все исключить

Я пытаюсь исключить в Auditd все, кроме того, что я хочу, однако то, что я пробовал, похоже, регистрирует гораздо больше деталей, большинство из них не имеет значения.

-a never,exclude -F msgtype=CWD
-a never,exclude -F msgtype=USER_ACCT
-a never,exclude -F msgtype=CONFIG_CHANGE
-a never,exclude -F msgtype=SERVICE_START
-a never,exclude -F msgtype=SERVICE_STOP
-a never,exclude -F msgtype=PROCTITLE

-a exit,never -F auid<100
-a exit,never -F uid<100

-a exit,never -F exe=/usr/sbin/mount.nfs
-a exit,never -F exe=/usr/sbin/automount

-a always,exit -F arch=b64 -S connect

Я могу исключить их вручную, но невозможно поймать все, кроме конкретной вещи, которую я хочу зарегистрировать.

Итак, вопрос, как мне настроить его, чтобы исключить все, кроме того, что вы хотите?