Linux-Audit

是否有替代 auditd 為每個過濾器啟用不同日誌文件的替代方法?

  • September 26, 2018

Auditd 不允許在不同文件中記錄不同的過濾器(參見手冊頁)。是否有替代方案使其成為可能,特別是分離賬戶活動?

  • 將 auditd 日誌發送到 rsyslog
  • 按 uid 過濾日誌並將日誌發送到特定文件

如果 $msg 包含 ‘uid=500’ 那麼 /var/log/uid/500

引用自:https://unix.stackexchange.com/questions/471162