この投稿では、システム ログに書き込まれる監査ログ エントリを停止する方法について説明します。
1. /etc/audisp/plugins.d/syslog.conf ファイルを確認します .デフォルトでは、ファイル「/etc/audisp/plugins.d/syslog.conf には以下の行があります。
args = LOG_INFO
これにより、syslog が監査ログを /var/log/messages に記録できるようになります .さらに audit.d すべての監査イベントを /var/log/audit/audit.log に記録します これは通常、監査イベントをチェックするために使用するデータです。
2. /var/log/messages のエントリを複製する必要はありません。複製すると、ファイル サイズが不必要に大きくなり、他のカーネル関連のイベントがばらばらになります。これを回避するには、以下の手順に従ってください。
ファイル「/etc/audisp/plugins.d/syslog.conf」を変更します 」 以下のエントリ
差出人:
args = LOG_INFO
へ:
args = LOG_LOCAL0
3. 次に、ファイル「/etc/rsyslog.conf」を変更します 」 以下のエントリ
差出人:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
へ
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. 次に、auditd サービスと rsyslog サービスを再起動します。
# service auditd restart # service rsyslog restart
これにより、audit.d が監査ログを /var/log/audit/audit.log にのみ記録し、/var/log/messages には記録できなくなります。