Auditbeat 7.3: Как добавить исключение auditd

Коллеги, добрый день.

Столкнулся с задачей: Необходимо исключить определенный процесс из аудита.
Для аудита использую модуль auditd в составе Auditbeat 7.3 на centos7.
На сервере есть процесс с именем /usr/bin/processname который генерирует слишком много ложных срабатываний.
В документации на auditd сказано, что процесс можно исключить по следующим признакам:

  • target file path, where applicable
  • process PID, PPID
  • process user, group

Следовательно, для решения задачи я попытался добавить два правила:

  1. -a always,exclude -F exe=/usr/bin/processname -k exclude_processname
  2. -a always,exclude -F path=bin/processname -k exclude_processname

Но при попытке запуска аудитбит выдал следующее сообщение об ошибке:
Exiting: 1 error: 1 error: failed to unpack the auditd config: 1 error: failed loading rules: 1 error: at (audit_rules at auditbeat.yml): 21: failed to interpret rule '-a always,exclude -F path=/bin/processname -k exclude_processname': failed to add filter '{2 path = /bin/processname}': field 'path' cannot be used the exclude flag accessing 'auditbeat.modules.0' (source:'/etc/auditbeat/auditbeat.yml')

И в итоге я запутанся и теперь не понимаю, как можно поностью отключить аудит событий для определенного процесса.
Коллеги подскажите, где я допустил ошибку?)

Может, проще будет через drop_event это сделать?

Игорь, спасибо за идею.
Добавил процессор, но получил ошибку:

Но и тут я получил ошибку:
"Exiting: error initializing processors: each processor must have exactly one action, but found 2 actions (drop_event,when)"

А если пробелы перед when добавить?

Добавил еще два пробела и заработало.
Но всеравно, интересно, почему модуль auditd не поддерживает "-F exe" и "-F path" ?)

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.