Logging

如何判斷 auditd 是否已暫停日誌記錄?

  • February 20, 2021

如果您將以下內容放入您的auditd.conf,auditd將在您的磁碟上有 50MB 或更少空間時暫停日誌記錄:

admin_space_left = 50
admin_space_left_action = SUSPEND

外部程序(例如監控檢查)如何知道是否auditd已達到此掛起狀態?

(我意識到您也可以在暫停日誌記錄EXEC時使用該操作來做某事,auditd但這不符合我的目的。)

在 CentOS 系統上,當遇到各種磁碟空間限制時,我必須處理結構化…

space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

當包含審計日誌的分區上的可用空間低於 75MB 時,這會導致向 syslog 發出此消息

5 月 21 日 08:53:01 c6test 審核

$$ 5851 $$: 審核守護程序的磁碟空間不足,無法進行日誌記錄

同樣,當空間低於 74MB 時,此消息會發送到 syslog

5 月 21 日 08:54:01 c6test 審核

$$ 5851 $$: 由於磁碟空間不足,審核守護程序正在暫停日誌記錄。

因此,為了回答您的問題,它會向 syslog 寫入一條消息,然後該消息會進入您的系統日誌,因此可以配置 monit 來查找它。

實際消息是什麼以及它被寫入哪個日誌文件可能取決於作業系統和/或發行版。

引用自:https://serverfault.com/questions/778121