Коллеги, добрый день.
Столкнулся с задачей: Необходимо исключить определенный процесс из аудита.
Для аудита использую модуль auditd в составе Auditbeat 7.3 на centos7.
На сервере есть процесс с именем /usr/bin/processname который генерирует слишком много ложных срабатываний.
В документации на auditd сказано, что процесс можно исключить по следующим признакам:
- target file path, where applicable
- process PID, PPID
- process user, group
Следовательно, для решения задачи я попытался добавить два правила:
- -a always,exclude -F exe=/usr/bin/processname -k exclude_processname
- -a always,exclude -F path=bin/processname -k exclude_processname
Но при попытке запуска аудитбит выдал следующее сообщение об ошибке:
Exiting: 1 error: 1 error: failed to unpack the auditd config: 1 error: failed loading rules: 1 error: at (audit_rules at auditbeat.yml): 21: failed to interpret rule '-a always,exclude -F path=/bin/processname -k exclude_processname': failed to add filter '{2 path = /bin/processname}': field 'path' cannot be used the exclude flag accessing 'auditbeat.modules.0' (source:'/etc/auditbeat/auditbeat.yml')
И в итоге я запутанся и теперь не понимаю, как можно поностью отключить аудит событий для определенного процесса.
Коллеги подскажите, где я допустил ошибку?)