Я установил правила аудита для регистрации при изменении системного времени
Однако наши серверы являются виртуальными машинами, и поэтому у них проблемы с уходом времени. Нам нужно было решить эту проблему, поэтому мы использовали инструмент VMware для регулярной синхронизации времени.
Моя проблема теперь в том, что мои журналы аудита переполнены такими записями об изменении времени:
Jun 1 15:08:39 ***** audispd: node=****** type=SYSCALL
msg=audit(1338559719.053:344291):
arch=c000003e syscall=159 success=yes exit=5 a0=7ffff2084050 a1=0 a2=144b
a3=485449575f4c4c55 items=0 ppid=1 pid=1348 auid=4294967295 uid=0 gid=0
euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295
comm="vmtoolsd" exe="/usr/lib/vmware-tools/bin64/appLoader" key="time_change"
Как я могу исключить этот инструмент vmware из аудита, но все же зафиксировать изменение времени пользователем?
Вот мои текущие правила аудита для отслеживания изменений времени:
-a always,exit -F arch=b32 -S adjtimex -S settimeofday -k time_change
-a always,exit -F arch=b32 -S clock_settime -k time_change
Если я правильно понял, вы отслеживаете события изменения времени ядра. Я не вижу прямого способа предотвратить появление в журналах одного инструмента, но у меня есть два возможных обходных пути:
Если ваши журналы не слишком велики для используемого вами устройства хранения, я бы предпочел вариант 1, потому что он ведет полный журнал аудита, и вы просто удаляете части, которые вам не интересны, к тому времени, когда вы просматриваете аудит. журнал. Эти автоматические изменения времени являются частью реальности и могут потребоваться для интерпретации временных меток в журнале аудита в случае серьезного смещения времени рядом с возникновением интересного события аудита (надеюсь, ваше программное обеспечение для корректировки времени регистрирует настроенное количество времени, чтобы вы могли позже вручную повторно синхронизировать время в журналах, если необходимо).