CentOS 7 시스템에서는 다음과 같은 메시지가 하루에 여러 번 기록됩니다.
Sep 24 00:11:42 example.org auditd[756]: Audit daemon rotating log files
Sep 24 00:26:23 example.org auditd[756]: Audit daemon rotating log files
(예: 실행 중에 나타남 journalctl -fa)
글쎄요, 저는 이 메시지의 중요성을 정말로 이해하지 못합니다. 즉, auditd는 로그 파일을 (반복적으로, 정기적으로) 교체하는 것이 얼마나 중요한지 보고합니다.
그래서 제 질문은 그러한 로그 메시지를 비활성화하는 방법입니다.
답변1
기본적으로 auditd는 6MiB를 쓴 후 회전합니다 /var/log/audit/audit.log.
따라서 auditd가 자주 순환된 로그 메시지를 내보내는 경우 비정상적인 수의 감사 로그 메시지가 생성되고 있음을 나타낼 수 있습니다.
그러면 SELinux 정책이 누락되었거나 확장되어야 할 가능성이 높습니다(audit2why/audit2allow 참조). 또 다른 원인은 잘못된 파일 태그일 수 있습니다(restorecon 참조).
또는 시스템 사용량이 많기 때문에 정상적인 활동으로 인해 감사 로그의 양이 발생할 수도 있습니다. 이 경우 /etc/audit/auditd.conf()에서 회전 크기 제한을 늘리는 것이 합리적일 수 있습니다.
journalctl그렇지 않으면 auditd는 syslog 심각도 "note"를 사용하여 이러한 메시지를 기록합니다. 즉, 더 높은 수준만 일치하는 경우 출력에 표시되지 않습니다. 그러나 auditd는 일부 오류 조건을 포함하여 더 심각한 메시지에 대해서도 심각도 알림을 사용합니다.