使用auditd忽略特定类型

Question

最近，我一直在玩弄auditd，试图删除它正在记录的部分内容。下面是我记录execve的audit.rules条目

# First rule - delete all
-D

-a always,exit -F arch=b64 -S execve
-a always,exit -F arch=b64 -S vfork
-a always,exit -F arch=b64 -S fork

例如，这将生成以下内容：

type=SYSCALL msg=audit(1384889328.421:128620): arch={redacted} syscall={redacted} success={redacted} exit={redacted} a0={redacted} a1={redacted} a2={redacted} a3={redacted} items={redacted} ppid={redacted} pid={redacted} auid={redacted} uid={redacted} gid={redacted} euid={redacted} suid={redacted} fsuid={redacted} egid={redacted} sgid={redacted} fsgid={redacted} tty={redacted} ses={redacted} comm="{redacted}" exe="{redacted}
type=EXECVE msg=audit(1384889328.421:128620): argc={redacted} a0="{redacted}" a1="{redacted}" a2="{redacted}"
type=CWD msg=audit(1384889328.421:128620):  cwd="{redacted}"
type=PATH msg=audit(1384889328.421:128620): item=0 name="/{redacted}" inode={redacted} dev={redacted} mode={redacted} ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1384889328.421:128620): item=1 name=(null) inode={redacted} dev={redacted} mode={redacted} ouid=0 ogid=0 rdev=00:00

我怎么能说我不希望type=PATH被记录呢？或是那种“类型”？

谢谢

Answer 1

 -a exclude,never -F msgtype=PATH

手册解释了您可以应用的其他过滤器。

libaudit.h有我找到的最好的类型列表。