由于我的磁盘空间即将耗尽,并且我看到它已用掉了几 GB,因此我决定删除 中的所有内容/var/log/*,认为它们只是日志文件,应该可以删除。
我手动运行了一个sudo mkdir /var/log/audit.然而,ausearch运行命令时,我得到以下输出。
Error opening /var/log/audit/audit.log (No such file or directory)
如何使用正确的权限、属性等重新创建此文件夹和文件?
我使用的是 Fedora 34。
答案1
ausearch搜索位于 的审核日志/var/log/audit/audit.log。它不存在会导致错误。
可能是sudo mkdir /var/log/audit没有设置正确的权限。它应该是
drwx------. root root system_u:object_r:auditd_log_t:s0 /var/log/audit
Asudo chown root:root /var/log/audit && chmod 0700 /var/log/audit应该注意这一点。
您可以使用 强制正确的 SELinux 权限restorecon -Rv /var/log/audit/。
之后使用 重新启动审核守护进程systemctl restart auditd.service。
答案2
无法发表评论,因此会注意到爱德华的上述信息略有不正确:auditd 无法使用 systemctl 重新启动。
使用“service Auditd restart”重新启动 Auditd(或启动、停止等)