Фильтр для сообщений auditd
Добрый день! Помогите разобраться с фильтром для логов audit'a.
Audit включен на терминальном сервере. При каждом логине пользователя пишется около 20 мб логов.
В логах много повторяющихся строк типа:
node=terminal type=PATH msg=audit(1398849020.299:615015): item=0 name=«/etc/fonts/conf.d/20-fix-globaladvance.conf» inode=135277 dev=fd:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=NORMAL
Можно как-то средствами audit'а писать все события кроме событий скажим из директории /etc/fonts/conf.d/ ?
Это один из примеров, но много строк где именно из одной директории,но разных файлов идет много событий.
Конфиг audit.rules:
# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl.
# First rule - delete all -D
# Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192
# Feel free to add below this line. See auditctl man page
-a always,exit -F arch=b32 -S open -F uid!=0 -a always,exit -F arch=b64 -S open -F uid!=0
Уже второй день мучаюсь, пытаясь заставить это работать. Помогите пожалуйста