spi*_*ech 2 auditd log-rotation
auditd 可以使用日期而不是整数来命名其轮换的审计日志吗?现在我有
audit.log
audit.log.1
audit.log.2
...
当audit.log填满所有的文件都是旋转一个数字更高。我有一个备份审计日志的脚本,tar当它看到所有文件在它下面移动时会感到困惑。我想按日期命名文件,这样它们在audit.log填满时就不会全部移动。
auditd 不能这样做。它内置的日志轮换按大小工作,而不是按日期。
您应该能够关闭auditd 的内置日志轮换功能,然后配置logrotate 来轮换其日志。它确实日期名的文件。在/etc/audit/auditd.conf:
num_logs = 0
在/etc/logrotate.d/auditd(随心所欲地调整):
/var/log/audit/audit.log {
daily
missingok
notifempty
sharedscripts
rotate 2
compress
delaycompress
postrotate
/usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
endscript
}
(USR1 信号告诉 auditd 轮换它的日志。由于它被配置为不轮换它自己的日志,这只会导致它打开一个新日志,这发生在 logrotate 轮换日志之后。)