免责声明:我既不是经过认证的系统管理员,也不是很有经验,但我被委以了一些系统管理员的职责
任务:找到一种方法来记录 Ubuntu 16.04 LTS 服务器上的所有帐户管理活动(例如帐户创建、修改、删除等),并保留日志信息至少 6 个月。
细节:
前任系统管理员已安装审计将此系统作为解决此问题的第一步。
运行时:
sudo systemctl status auditd.servicesystemd 返回该服务已成功运行并正在监听事件。据我了解,此包(审计) 是我完成任务所需要的。该服务似乎已在运行并记录日志,那么我在哪里可以找到并保留 6 个月的日志文件?
文件“/var/log/audit/audit.log”存在并且文件已填充审计信息
在网上阅读了更多关于 Auditd 工作原理的信息后,我怀疑解决方案可能在于配置审计日志的轮换方式。我不完全了解轮换的工作原理,但我相信日志文件是在文件大小达到一定限制时进行轮换的,而不是根据时间的流逝。我想我可以通过修改文件“/etc/audit/auditd.conf”来配置轮换。
那么,了解了这些细节(如果需要,请询问更多信息)后,我该如何完成任务?
非常感谢大家的帮助!
答案1
我将使用这里的 auditd 配置步骤: https://access.redhat.com/solutions/661603
省略 cron 部分,改用 logrotate、其压缩功能和基于时间的保留设置。有关详细信息,请参阅man logtotate。
例如压缩、每月、后旋转(使用上述解决方案的命令)和旋转 5。
小心间隔和轮换设置,该示例会导致仅存储约 150 天的情况。根据您的要求,每日/每周轮换 180/30 可能会更好。