Logging
如何判斷 auditd 是否已暫停日誌記錄?
如果您將以下內容放入您的
auditd.conf
,auditd
將在您的磁碟上有 50MB 或更少空間時暫停日誌記錄:admin_space_left = 50 admin_space_left_action = SUSPEND
外部程序(例如監控檢查)如何知道是否
auditd
已達到此掛起狀態?(我意識到您也可以在暫停日誌記錄
EXEC
時使用該操作來做某事,auditd
但這不符合我的目的。)
在 CentOS 系統上,當遇到各種磁碟空間限制時,我必須處理結構化…
space_left = 75 space_left_action = SYSLOG admin_space_left = 74 admin_space_left_action = SUSPEND
當包含審計日誌的分區上的可用空間低於 75MB 時,這會導致向 syslog 發出此消息
5 月 21 日 08:53:01 c6test 審核
$$ 5851 $$: 審核守護程序的磁碟空間不足,無法進行日誌記錄
同樣,當空間低於 74MB 時,此消息會發送到 syslog
5 月 21 日 08:54:01 c6test 審核
$$ 5851 $$: 由於磁碟空間不足,審核守護程序正在暫停日誌記錄。
因此,為了回答您的問題,它會向 syslog 寫入一條消息,然後該消息會進入您的系統日誌,因此可以配置 monit 來查找它。
實際消息是什麼以及它被寫入哪個日誌文件可能取決於作業系統和/或發行版。