Добрый день, как можно игнорировать не нужные мне ивенты кроме как используя exclude по msgtype? Например:
type=SYSCALL msg=audit(1398311603.188:1489206): arch=c000003e syscall=4 success=yes exit=0 a0=7f6bff90e558 a1=7f6bfaff56f0 a2=7f6bfaff56f0 a3=0 items=1 ppid=1 pid=8409 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=16625 comm="splunkd" exe="/opt/splunkforwarder/bin/splunkd" key=(null)Мой конфиг:
-b 320
-a exclude,always -F msgtype=CWD
-a always,exit -F euid=0 -F perm=wxa -k ROOT_ACTION
-a always,exit -S all -F dir=/incoming
-w /root -p rwxa
-w /var/log -p rwxa
-w /etc -p rwxa
-w /bin -p wa
-w /sbin -p wa
-w /usr/bin -p wa
-w /usr/sbin -p wa
-w /var/lib -p wa
-w /lib -p wa
-w /usr/lib -p wa
