Вопрос : Подавлять вращение auditd от /var/log/messages

Мы необходимо, что имеет позволенное SELinux, но любое умеет как подавить эти (надоедающ) тип сообщений auditd от быть помещенным в /var/log/messages? Мы получаем несколько 100 день и в виду того что мы бежим syslog-ng на центральном сервере (экземпляре /var/log/messages на нескольких серверов), эти типы сообщения как раз заполняют вверх по журналам repository.

проверкы class= " ясное " >

> " codeSnippet " class=

class= " lineNumbers "

class=

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13:

class= " id= " codeSnippet641732 29-ое апреля 14: 29: Auditd 43 MYSERVER [1992]: Архивы журнала демона проверкы вращая 29-ое апреля 14: 30: 14 MYSERVER продолжают сообщение повторенное 4 времени 29-ое апреля 14: 31: 21 MYSERVER продолжают сообщение повторенное 8 времен 29-ое апреля 14: 32: 28 MYSERVER продолжают сообщение повторенное 8 времен 29-ое апреля 14: 33: 29 MYSERVER продолжают сообщение повторенное 8 времен 29-ое апреля 15: 07: 54 MYSERVER продолжают сообщение повторенное 2 времени 12-ое мая 14: 35: Auditd 01 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 15: 28: Auditd 13 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 16: 21: Auditd 38 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 17: 18: Auditd 37 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 18: 09: Auditd 32 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 19: 02: Auditd 57 MYSERVER [1992]: Архивы журнала демона проверкы вращая 12-ое мая 19: 56: Auditd 22 MYSERVER [1992]: Архивы журнала демона проверкы вращая

class=

Ответ : Подавлять вращение auditd от /var/log/messages

Syslog-ng не любит то над заявлением. В действительности, он упал все сообщения от быть показанным.

Так я сделал немногую мотыга к Кодему using ваш поезд мысли и делать отдельно фильтры и прикладывать его перед сочинительством оно к журналам.

1: 2: 3: 4: 5: 6: 7: 8: 9: 10:

фильтр M_audit {не спичка («архивы журнала демона проверкы вращая»); }; фильтр M_repeat {не спичка («последнее повторенное сообщение»); }; фильтр M_queue {не спичка («коса полна»); }; журнал {источник (s_general); фильтр (M_audit); фильтр (M_repeat); фильтр (M_queue); назначение (d_general); };