Коллеги, При такой конфигурации аудита можно подумать, что вообще ничего не должно отслеживаться.
dir:/home/audit flags:^all minfree:20 naflags:^all policy:cnt,argv,arge filesz:0 Почему я в логе вижу охеренную гору событий типа header,68,10,fcntl(2),0,Mon Sep 19 14:28:24 2011, + 942 msec subject,root,root,wheel,root,wheel,52281,51663,63616,212.73.x.x return,success,0 trailer,68 Может показаться, что kern/152796 имеет отношение к делу, но у меня не стоит аудит на класс "fm". Вообще стоит ^all, как видите. audit_user пустой. Я понимаю, что можно постфактум отфильтровать ненужное с помощью auditreduce, но диск-то забивается со страшной силой. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
