Questo post spiega come interrompere le voci del registro di controllo scritte nei registri di sistema.
1. Controlla il file /etc/audisp/plugins.d/syslog.conf . Per impostazione predefinita, il file "/etc/audisp/plugins.d/syslog.conf avrà la riga seguente.
args = LOG_INFO
Ciò consentirà a syslog di registrare i log di controllo in /var/log/messages . Inoltre audit.d registrerà tutti gli eventi di controllo su /var/log/audit/audit.log e questi sono i dati che normalmente utilizziamo per controllare gli eventi di audit.
2. La duplicazione delle voci in /var/log/messages non è richiesta e aumenterà inutilmente la dimensione del file e disperderà gli altri eventi relativi al kernel. Per evitare ciò, segui i passaggi seguenti.
Modifica il file “/etc/audisp/plugins.d/syslog.conf ” come sotto
Da:
args = LOG_INFO
a:
args = LOG_LOCAL0
3. Quindi modificare il file “/etc/rsyslog.conf ” come sotto
Da:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
a
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Quindi riavviare i servizi auditd e rsyslog.
# service auditd restart # service rsyslog restart
Ciò consentirà ad audit.d di registrare i log di controllo solo su /var/log/audit/audit.log e non su /var/log/messages.