Einstellungsschlüssel für Ereignisfilter


Schlüssel	Beschreibung
`AuditEventExcludedProcesses`	Schließt bestimmte Prozesspfade basierend auf dem Feld `subject.process_name` aus den Compliance Reporter Protokollen aus. Es können mehrere Werte festgelegt werden, um nach Programmen anderer Anbieter zu filtern. Wichtig: Verwenden Sie keine regulären Ausdrücke oder Platzhalter in Dateipfaden. Alle Unterprozesse ausgeschlossener Hauptprozesse werden ebenfalls ausgeschlossen. `<key>AuditEventExcludedProcesses</key> <array> <string>/usr/sbin/mDNSResponder</string> <string>/usr/sbin/syslogd</string> <string>/Applications/splunk/bin/splunk-optimize</string> </array>`
`AuditEventLogVerboseMessages`	Wenn diese Option aktiviert und `AuditLevel` für Ebene 3 konfiguriert ist, werden alle Terminal-, Skript- und anderen ausführlichen Ereignisse in die Standardprotokollausgabe aufgenommen. Dies ist standardmäßig deaktiviert. Hinweis: Selbst wenn diese Einstellung deaktiviert ist, werden alle Privilegieneskalationen und Benutzerimitationen protokolliert. `<key>AuditEventLogVerboseMessages</key> <false/>`