日付付きの名前ローテーション監査ログ
Auditdは、整数の代わりに日付を使用して、ローテーションされた監査ログに名前を付けることができますか?今私は持っています
audit.log
audit.log.1
audit.log.2
...
audit.logがいっぱいになると、すべてのファイルが1つ上にローテーションされます。監査ログをバックアップするスクリプトがあり、すべてのファイルがその下に移動するのを見ると、tarが混乱します。 audit.logがいっぱいになったときにすべてが移動しないように、ファイルに日付で名前を付けたいと思います。
auditdはこれを行うことができません。組み込みのログローテーションは、日付ではなくsizeで機能します。
Auditdの組み込みのログローテーションをオフにしてから、ログをローテーションするようにlogrotateを構成できるはずです。それします日付でファイルに名前を付けます。 /etc/audit/auditd.conf:
num_logs = 0
/etc/logrotate.d/auditd(必要に応じて調整):
/var/log/audit/audit.log {
daily
missingok
notifempty
sharedscripts
rotate 2
compress
delaycompress
postrotate
/usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
endscript
}
(USR1シグナルは、auditdにログをローテーションするように指示します。ログ自体をローテーションしないように構成されているため、これにより、logrotateがログをローテーションした直後に新しいログが開かれます。)