web-dev-qa-db-ja.com

日付付きの名前ローテーション監査ログ

Auditdは、整数の代わりに日付を使用して、ローテーションされた監査ログに名前を付けることができますか?今私は持っています

audit.log
audit.log.1
audit.log.2
...

audit.logがいっぱいになると、すべてのファイルが1つ上にローテーションされます。監査ログをバックアップするスクリプトがあり、すべてのファイルがその下に移動するのを見ると、tarが混乱します。 audit.logがいっぱいになったときにすべてが移動しないように、ファイルに日付で名前を付けたいと思います。

1
spiffytech

auditdはこれを行うことができません。組み込みのログローテーションは、日付ではなくsizeで機能します。

Auditdの組み込みのログローテーションをオフにしてから、ログをローテーションするようにlogrotateを構成できるはずです。それします日付でファイルに名前を付けます。 /etc/audit/auditd.conf

num_logs = 0

/etc/logrotate.d/auditd(必要に応じて調整):

/var/log/audit/audit.log {
    daily
    missingok
    notifempty
    sharedscripts
    rotate 2
    compress
    delaycompress
    postrotate
        /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
    endscript
}

(USR1シグナルは、auditdにログをローテーションするように指示します。ログ自体をローテーションしないように構成されているため、これにより、logrotateがログをローテーションした直後に新しいログが開かれます。)

3
Michael Hampton