关于audit的问题
我开启了系统中的audit,并自定义了一个类,也就是classes,如:
auditroot= FS_Mkdir
并且设置 root= auditroot
然后启动audit start
但是我在查看审计日志中发现,audit也记录了TCPIP_access等事件,我想问如何才能不记录这样的事件,按我的配置,应该只记录FS_Mkdir事件才对啊。
请高手指点一下,说明一下这是何种原因
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
想知道答案吗?请学会如何提问.
想得到帮助吗?请尽可能给出详细的信息.包括每个步骤.不要漏过任何命令.
也许专门做AUDIT的人看到你说的就能给出来你要的.可是还有好多人不是专门做AUDIT,但是不见得他们就帮不了你.
谢谢你的理解.
首先感谢版主的回复以及提醒。
其实我认为,我所提的问题很简单的一句话就是,在audit的配置文件config的class项中没有配置的,为什么也好审计和记录出来。
命令如下:vi /etc/security/audit/config
在classes项下增加 auditroot= FS_Mkdir
在USER项下修改 root= auditroot
保存退出 ,启动audit,audit start
查看审计日志发现有事件 TCPIP_access 不知何故