数日前、Ubuntuサーバーのディスクがほぼいっぱいになっていることに気づきました。少し掘り下げたところ、/var/ossec/queue/diff
フォルダ内のOSSECによってディスク領域が使用されていることがわかりました。
すぐに試してみたかったので、このフォルダの内容を削除しました。すべてが正常に機能し、ディスク容量の使用量は「通常の」量に戻りました。
しかし、OSSECキューフォルダは再び大きくなっています。
OSSECキューがすべてのディスク領域を使用しないようにする設定はありますか?
私の知る限り、OSSEC自体はログを削除しません。 ドキュメント を見てください
OSSECのログはどこに保存されますか?¶
OSSECサーバーとローカルインストールでは、OSSECログのクラスがいくつかあります。 OSSECデーモンによって作成されたログ、エージェントからのログメッセージ、およびアラートがあります。エージェントのインストールには、他のエージェントからのログやアラートはありませんが、OSSECプロセスによって作成されたログはあります。
すべてのログは、/ var/ossec/logsのサブディレクトリに保存されます。 OSSECのログメッセージは/var/ossec/logs/ossec.logに保存されます。
エージェントからのログメッセージは、デフォルトでは保存されません。分析後、オプションがマネージャーのossec.confに含まれていない限り、それらは削除されます。設定すると、マネージャーに送信されるすべてのログメッセージは/var/ossec/logs/archives/archives.logに保存され、毎日ローテーションされます。
アラートは/var/ossec/logs/alerts/alerts.logに保存され、毎日ローテーションされます。
Logrotateを使用してossecログをローテーションできますが、/var/ossec/queue/diff
フォルダは別の話です。
そこにあるファイルを安全に削除してOSSEC機能を維持することはできますが、差異レポートは失われます。
私が行ったようにディレクトリにreport_changesを追加すると、次のような原因になるようです:/ home/wordpress/sites /
レポートの変更OSSECは、LinuxおよびUNIXシステムでテキストファイルに変更が加えられた場合の差分の送信をサポートしています。
差分を表示するようにsyscheckを構成するのは簡単です。report_changes= "yes"を
/ etc/bin、/ sbin注レポートの変更はテキストファイルでのみ機能し、変更は/ var/ossec/queue/diff/local/dir/file内のエージェントに保存されます。 OSSECがlibmagicをサポートしてコンパイルされていない場合、report_changesは指定されたファイルをコピーします。 mp3、iso、実行可能ファイル、/ chroot/dev/urandom(ハードドライブがいっぱいになります)。そのため、libmagicを使用しない限り、どのディレクトリでreport_changesを有効にするかには十分注意してください。
Logrotateが答えです(Lennieyが述べたように)が、これはたまにしか機能しません。ログがすべての空き領域を消費するのを防ぐために、 ディスククォータの長い間忘れられていた伝承 を使用してみませんか?