Я установил audit-beat в свой centos7, здесь журналы аудита хранятся в /var/log/messages файл . Из-за журналов аудита мой диск каждый раз заполняется. Как настроить rsyslog не хранить журналы аудита в/var/log/messagesфайл?
По умолчанию -e flag отправляет вывод на stderr. Вы можете удалить эту опцию из файловых модулей systemd. Должно помочь.
sed -e '/BEAT_LOG_OPTS=-e/ s/^#*/#/' -i /lib/systemd/system/{auditbeat,metricbeat,filebeat}.service
systemctl daemon-reload
systemctl restart metricbeat filebeat
Нашел ответ / подсказку в этой теме
Обратите внимание, что с Beats 7.7+ конфигурация изменилась, поэтому приведенное выше не будет работать.
https://github.com/elastic/beats/issues/12024#issuecomment-628925105