主页 / server / 问题 / 937506
Accepted
spiffytech
Asked: 2018-10-28 06:52:14 +0800 CST

用日期命名轮换的 auditd 日志

  • 772

auditd 可以使用日期而不是整数来命名其轮换的审计日志吗?现在我有

audit.log
audit.log.1
audit.log.2
...

audit.log填满时,所有文件都会旋转一个数字。我有一个备份审计日志的脚本,tar当它看到所有文件都在它下面移动时会感到困惑。我想按日期命名文件,这样它们在audit.log填满时就不会全部移动。

auditd

1 个回答

  1. Best Answer

    auditd 不能这样做。它内置的日志轮换按大小工作,而不是按日期。

    您应该能够关闭 auditd 的内置日志轮换,然后配置 logrotate 以轮换其日志。它确实按日期命名文件。在/etc/audit/auditd.conf

    num_logs = 0

    /etc/logrotate.d/auditd(随心所欲地调整):

    /var/log/audit/audit.log {
    daily
    missingok
    notifempty
    sharedscripts
    rotate 2
    compress
    delaycompress
    postrotate
        /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
    endscript
}

    (USR1 信号告诉 auditd 轮换它的日志。由于它被配置为不轮换它自己的日志,这只会导致它打开一个新日志,这发生在 logrotate 轮换日志之后。)

    • 5

相关问题