Я включил auditd для сбора журналов на основе некоторых правил, и все работает нормально. Интересно узнать, существует ли как-либо файловый тип аудита (например, ЛОГИН ПОЛЬЗОВАТЕЛЯ) на основе адрес или имя хоста?
Например, в журнале ниже addr=192.168.2.59 и не хочу записывать это в свой журнал, но другие адрес нужно записать
type=USER_LOGIN msg=audit(1528028722.288:12745): pid=16121 uid=0 auid=54321 ses=28 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=54321 exe="/ usr/sbin/sshd" hostname=192.168.2.59 addr=192.168.2.59 terminal=ssh res=success'
Любое предложение?