系统时间更改时,我已将审核规则设置为日志logging
但是,我们的服务器是虚拟机,因此有时间漂stream的问题。 我们需要解决这个问题,所以我们使用VMware工具来定期同步时间。
我现在的问题是,我的审计日志被这样的时间变化条目淹没了:
Jun 1 15:08:39 ***** audispd: node=****** type=SYSCALL msg=audit(1338559719.053:344291): arch=c000003e syscall=159 success=yes exit=5 a0=7ffff2084050 a1=0 a2=144b a3=485449575f4c4c55 items=0 ppid=1 pid=1348 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="vmtoolsd" exe="/usr/lib/vmware-tools/bin64/appLoader" key="time_change" 我如何从审计中排除这个vmware工具,但仍然捕获用户更改时间?
这是我目前的审计规则来捕捉时间的变化:
-a always,exit -F arch=b32 -S adjtimex -S settimeofday -k time_change -a always,exit -F arch=b32 -S clock_settime -k time_change
如果我理解正确,那么您正在监视内核时间更改事件。 我没有看到直接的方法来阻止日志中出现单个工具,但我有两种可能的解决方法:
除非您的日志对于您使用的存储设备来说太大,否则我更愿意使用选项1,因为这样可以保留完整的审核日志,您只需在审核审核时删除不感兴趣的部分login。 这些自动时间变化是现实的一部分,可能需要在审计日志中解释时间戳,以防发生有意义的审计事件时发生严重的时间漂移(希望您的时间调整软件logging调整的时间量,以便稍后可以如果需要,手动重新同步日志中的时间)。