Как к surpress контролируют демона, поворачивающего сообщения журнала?
Согласно coreutils документации под --classify (псевдоним -F), = для сокетов:
Добавьте символ к каждому имени файла, указывающему на тип файла. Кроме того, для регулярных файлов, которые являются исполняемым файлом, добавьте '*'. Индикаторы типа файла ‘/’ для каталогов, для символьных ссылок, ‘|’ для FIFOs, ‘=’ для сокетов, ‘>’ для дверей и ничего для регулярных файлов. Не переходите по символьным ссылкам, перечисленным на командной строке, если - разыменовывать-командная-строка (-H), - не разыменовывают (-L), или - dereference-command-line-symlink-to-dir опции указаны.
По умолчанию auditd выполняет ротацию после того, как 6 МБ записаны в /var/log/audit/audit.log .
Таким образом, когда auditd часто выдает сообщения ротации журнала, это может быть признаком того, что создается необычное количество сообщений журнала аудита.
Тогда вполне вероятно, что политика SELinux отсутствует или ее необходимо расширить (см. Audit2why / audit2allow). Другой причиной может быть неправильная маркировка файлов (см. Restorecon).
В качестве альтернативы, количество журналов аудита также может быть вызвано нормальной активностью только потому, что это загруженная система. В этом случае имеет смысл увеличить предел размера поворота в ( /etc/audit/auditd.conf ).
Кроме того, auditd регистрирует эти сообщения с уровнем серьезности 'NOTICE' в системном журнале, то есть они не появляются в выводе journalctl при сопоставлении только более высоких уровней. Но имейте в виду, что auditd также использует УВЕДОМЛЕНИЕ о серьезности для более серьезных сообщений (включая некоторые состояния ошибок).