关于audit的问题

发布于 2022-10-15 06:13:57 字数 241 浏览 15 评论 0

我开启了系统中的audit,并自定义了一个类,也就是classes,如:
auditroot= FS_Mkdir
并且设置  root= auditroot
然后启动audit start

但是我在查看审计日志中发现,audit也记录了TCPIP_access等事件,我想问如何才能不记录这样的事件,按我的配置,应该只记录FS_Mkdir事件才对啊。
请高手指点一下,说明一下这是何种原因

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

薆情海 2022-10-22 06:13:57

想知道答案吗?请学会如何提问.
想得到帮助吗?请尽可能给出详细的信息.包括每个步骤.不要漏过任何命令.
也许专门做AUDIT的人看到你说的就能给出来你要的.可是还有好多人不是专门做AUDIT,但是不见得他们就帮不了你.
谢谢你的理解.

汐鸠 2022-10-22 06:13:57

首先感谢版主的回复以及提醒。
其实我认为,我所提的问题很简单的一句话就是,在audit的配置文件config的class项中没有配置的,为什么也好审计和记录出来。
命令如下:vi /etc/security/audit/config
在classes项下增加  auditroot= FS_Mkdir
在USER项下修改  root= auditroot
保存退出 ,启动audit,audit start
查看审计日志发现有事件 TCPIP_access 不知何故

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文