Hallo zusammen,

ich benötige ein wenig Hilfe, leider weiß ich gerade nicht mehr weiter. Wie stelle ich dieses gespamme von cron im audit ab?
[12704.376009] audit: type=1006 audit(1550427541.625:501): pid=6586 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=434 res=1
[12764.430146] audit: type=1006 audit(1550427601.682:502): pid=6602 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=435 res=1
[12764.430252] audit: type=1006 audit(1550427601.682:503): pid=6603 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=436 res=1
[12776.138571] audit: type=1006 audit(1550427613.389:504): pid=6619 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=437 res=1
[12824.492187] audit: type=1006 audit(1550427661.742:505): pid=6718 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=438 res=1
[12824.492193] audit: type=1006 audit(1550427661.742:506): pid=6717 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=439 res=1
[12884.547550] audit: type=1006 audit(1550427721.799:507): pid=6743 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=440 res=1
[12884.547557] audit: type=1006 audit(1550427721.799:508): pid=6742 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=441 res=1
[12944.602838] audit: type=1006 audit(1550427781.855:509): pid=6767 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=442 res=1
[12944.602958] audit: type=1006 audit(1550427781.855:510): pid=6766 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=443 res=1
[13004.657800] audit: type=1006 audit(1550427841.909:511): pid=6786 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=445 res=1
[13004.657807] audit: type=1006 audit(1550427841.909:512): pid=6787 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=444 res=1
[13064.716190] audit: type=1006 audit(1550427901.969:514): pid=6804 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=447 res=1
[13064.716196] audit: type=1006 audit(1550427901.969:513): pid=6805 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=446 res=1
[13123.776476] audit: type=1006 audit(1550427961.029:515): pid=6821 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=448 res=1
[13123.776485] audit: type=1006 audit(1550427961.029:516): pid=6822 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=449 res=1
[13170.567341] audit: type=1006 audit(1550428007.819:517): pid=6839 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=450 res=1
[13183.831971] audit: type=1006 audit(1550428021.082:518): pid=6932 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=451 res=1
[13183.832063] audit: type=1006 audit(1550428021.082:519): pid=6933 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=452 res=1
Meine rules für audit sehen folgendermaßen aus:
[root@archlinux ~]# auditctl -l
-a never,user -F subj_type=crond_t
-a never,exit -S all -F subj_type=crond_t
-w /etc/cron.allow -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.d -p wa -k cron
-w /etc/cron.daily -p wa -k cron
-w /etc/cron.hourly -p wa -k cron
-w /etc/cron.monthly -p wa -k cron
-w /etc/cron.weekly -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/crontabs -p rwxa -k cron
Jedoch bringt das leider nichts.

Wo liegt mein Fehler?

Vielen Dank im voraus!
Hi,

kann es sein letzte Zeile statt:
-w /var/spool/cron/crontabs -p rwxa -k cron
so:
-w /var/spool/cron/crontabs -p wa -k cron
Hm, leider hat es nichts gebracht :/

Aber danke für den Tip