Esta publicación explica cómo detener las entradas del registro de auditoría escritas en los registros del sistema.
1. Verifique el archivo /etc/audisp/plugins.d/syslog.conf . De forma predeterminada, el archivo “/etc/audisp/plugins.d/syslog.conf tendrá la siguiente línea.
args = LOG_INFO
Esto permitirá que syslog registre registros de auditoría en /var/log/messages . Además auditoría.d registrará todos los eventos de auditoría en /var/log/audit/audit.log también y estos son los datos que normalmente usamos para verificar los eventos de auditoría.
2. No es necesario duplicar las entradas en /var/log/messages y aumentará innecesariamente el tamaño del archivo y dispersará los otros eventos relacionados con el kernel. Para evitar esto, siga los pasos a continuación.
Cambie el archivo “/etc/audisp/plugins.d/syslog.conf ” entrada como se muestra a continuación
De:
args = LOG_INFO
a:
args = LOG_LOCAL0
3. Luego cambie el archivo “/etc/rsyslog.conf ” entrada como se muestra a continuación
De:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
a
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
4. Luego reinicie los servicios auditd y rsyslog.
# service auditd restart # service rsyslog restart
Esto permitirá que audit.d registre registros de auditoría solo en /var/log/audit/audit.log y no en /var/log/messages.