在 CentOS 7 系统上,类似这样的消息每天会记录多次:
Sep 24 00:11:42 example.org auditd[756]: Audit daemon rotating log files
Sep 24 00:26:23 example.org auditd[756]: Audit daemon rotating log files
(例如,它们在执行时出现journalctl -fa)
好吧,我真的不明白这些消息的意义。我的意思是,auditd 报告它(再次并定期)轮换其日志文件到底有多重要。
因此我的问题是如何禁用此类日志消息。
答案1
开箱即用,auditd 在写入 6 MiB 后会轮换/var/log/audit/audit.log。
因此,当auditd 频繁发出轮换日志消息时,可能表明生成了异常数量的审核日志消息。
那么很可能 SELinux 策略缺失或需要扩展(参见audit2why/audit2allow)。另一个原因可能是文件标签错误(参见restorecon)。
或者,审计日志的数量也可能是由正常活动引起的,只是因为它是一个繁忙的系统。在这种情况下,增加 ( /etc/audit/auditd.conf) 中的旋转大小限制可能是有意义的。
journalctl除此之外,auditd 会使用系统日志严重性“注意”来记录这些消息 - 即,当仅匹配更高级别时,它们不会出现在输出中。但请注意,auditd 还对更严重的消息(包括一些错误情况)使用严重性通知。