Auditd
用日期命名輪換的 auditd 日誌
auditd 可以使用日期而不是整數來命名其輪換的審計日誌嗎?現在我有
audit.log audit.log.1 audit.log.2 ...當
audit.log填滿時,所有文件都會旋轉一個數字。我有一個備份審計日誌的腳本,tar當它看到所有文件都在它下面移動時會感到困惑。我想按日期命名文件,這樣它們在audit.log填滿時就不會全部移動。
auditd 不能這樣做。它內置的日誌輪換按大小工作,而不是按日期。
您應該能夠關閉 auditd 的內置日誌輪換,然後配置 logrotate 以輪換其日誌。它確實按日期命名文件。在
/etc/audit/auditd.conf:num_logs = 0在
/etc/logrotate.d/auditd(隨心所欲地調整):/var/log/audit/audit.log { daily missingok notifempty sharedscripts rotate 2 compress delaycompress postrotate /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true endscript }(USR1 信號告訴 auditd 輪換它的日誌。由於它被配置為不輪換它自己的日誌,這只會導致它打開一個新日誌,這發生在 logrotate 輪換日誌之後。)