不要在auth.log中记录cron事件

Modified on: Sat, 30 Jun 2018 09:54:00 +0800

在我的/etc/rsyslog.conf中,我有以下行将auth工具记录到/var/log/auth.log

auth,authpriv.*           /var/log/auth.log

但是文件充满了cron日志,例如:

CRON[18620]:  pam_unix(cron:session): session opened for user root by (uid=0)
CRON[18620]:  pam_unix(cron:session): session closed for user root

我想摆脱cron日志,并且只有真正的“auth”事件被记录到该文件中。我的意思是,我想知道哪些用户已登录系统,或者是su -

我怎样才能实现这一目标?

最佳答案

我相信这就是你要找的东西:

:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log

第一行与cron auth事件匹配,并删除它们。然后第二行按照您的规则记录,减去先前删除的行。


相关问答

添加新评论