在我的 CentOS Linux 机器上,在我的 auditd.conf 文件中,我设置了 max_log_file_action=keep_logs。
但是,在我的 /var/log/messages 和 /var/log/auditd.log 中,以下消息每秒出现多次,很快就会填满这些日志文件:
Audit daemon rotating log files with keep option
Last known log disappeared (/data/log/audit.log.5)
Next log to use will be /data/log/audit.log.5
为什么会出现这些消息?为什么出现得这么频繁?我该如何消除它们?它们是不正确的干扰消息(即,我没有尝试轮换我的审计日志)。
答案1
弄清楚了。
请注意,我的目的是拥有一个日志文件 - 而不是旋转它。
我还将 num_logs 设置为 1。规定是如果 num_logs 小于 2,则不会轮换。如果将其设置为 1,max_log_file_action 是什么几乎无关紧要,因为没有轮换。但是如果将其设置为“keep_logs”,系统会继续尝试轮换,但失败了,并将这些消息放入我的消息和 auditd.log 文件中。
我将 max_log_file_action 设置为“忽略”。现在我得到了所需的行为:单个审计日志文件;消息和 auditd.log 文件中没有错误/无关的消息。