우리는 최근에 현재 auditd 구성으로 인해 /var/log/audit 파일 시스템이 가득 찼다는 사실을 깨달았으므로 /etc/audit/auditd.conf 파일을 사용하여 이 문제를 해결하기 시작했습니다. conf 파일을 다음과 같이 수정했습니다.
#
# This file controls the configuration of the audit daemon
#
log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
max_log_file = 4
max_log_file_action = ROTATE
space_left = 75
space_left_action = email
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = halt
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
그러나 /var/log/audit의 파일은 여전히 max_log_file에 설정된 파일(MB 단위)보다 큽니다.
root@my-server:~# ls -lah /var/log/audit/
total 18M
drwx------ 3 root root 3.0K Apr 22 13:17 .
drwxrwxr-x 12 root syslog 4.0K Apr 22 03:13 ..
-rw------- 1 root root 4.2M Apr 22 13:35 audit.log
-r-------- 1 root root 4.1M Apr 22 13:17 audit.log.1
-r-------- 1 root root 4.0M Apr 22 11:22 audit.log.2
-r-------- 1 root root 5.0M Apr 22 11:39 audit.log.3
drwx------ 2 root root 12K Feb 4 10:44 lost+found
4.0MI는 auditd를 직접 실행하여 수동으로 회전합니다. 이 문제를 해결하면서 알고 싶습니다.현재 audit.log가 최대 크기에 도달하면 이 디렉터리를 모니터링하고 auditd에 로그를 회전하라는 알림을 보내는 것은 무엇입니까?내가 이것을 할 수 있다고 생각한 유일한 실행 프로세스는 다음과 같습니다.
root 149689 0.0 0.2 11580 2568 ? S<sl 11:43 0:00 /sbin/auditd -n
하지만 제가 생각하는 대로 작동하지 않는 것 같습니다.