Вопросы Теги

auditd не сжимает журналы во время ротации

Используйте параметр -s/ --setкоманды date:

. 
# date
Wed Mar 20 23:02:18 CET 2019
# date -s '20190315' > /dev/null; date -d 'last-monday - 14 days'
Mon Feb 25 00:00:00 CET 2019

В зависимости от вашей системы вам может потребоваться префикс sudoили последующий сброс черезntpdate

1
06.07.2020, 12:59
1 ответ

Auditd не может сжимать собственные журналы, для этого необходимо настроить logrotate. Для получения дополнительной информации, пожалуйста, проверьте:

https://bgstack15.wordpress.com/2018/02/13/logrotate-audit-log-selinux-cron-and-ansible/

илиhttps://www.stigviewer.com/stig/vmware_vrealize_operations_manager_6.x_sles/2018-10-11/finding/V-88747

Оба немного устарели, но вы можете тривиально заменить service restart auditdнаsystemctl restart auditd

Изменения, необходимые для auditd.conf (По умолчанию он ротирует файлы сам по себе, а это не то, что нам нужно):

max_log_file             =  0
max_log_file_action      =  ignore

Пример файла logrotate, например./etc/logrotate.d/audit

/var/log/audit/*.log {
        weekly
        missingok
        compress
        #copytruncate
        rotate 30
        minsize 100k
        maxsize 200M
        postrotate
                touch /var/log/audit/audit.log ||:
                chmod 0600 /var/log/audit/audit.log ||:
                service auditd restart
        endscript
}
3
18.03.2021, 23:21

Теги

Похожие вопросы