以日期命名轮换的审计日志

Question

auditd 无法做到这一点。其内置的日志轮换通过以下方式实现：尺寸，不是按日期。

您应该能够关闭 auditd 的内置日志轮换，然后配置 logrotate 来轮换其日志。它做按日期命名文件。在/etc/audit/auditd.conf：

num_logs = 0

在/etc/logrotate.d/auditd（随意调）：

/var/log/audit/audit.log {
    daily
    missingok
    notifempty
    sharedscripts
    rotate 2
    compress
    delaycompress
    postrotate
        /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
    endscript
}

（USR1 信号告诉 auditd 轮换其日志。由于它配置为不自行轮换其日志，这只会导致它打开一个新日志，这在 logrotate 轮换日志之后立即发生。）

Answer 1

auditd 无法做到这一点。其内置的日志轮换通过以下方式实现：尺寸，不是按日期。

您应该能够关闭 auditd 的内置日志轮换，然后配置 logrotate 来轮换其日志。它做按日期命名文件。在/etc/audit/auditd.conf：

num_logs = 0

在/etc/logrotate.d/auditd（随意调）：

/var/log/audit/audit.log {
    daily
    missingok
    notifempty
    sharedscripts
    rotate 2
    compress
    delaycompress
    postrotate
        /usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
    endscript
}

（USR1 信号告诉 auditd 轮换其日志。由于它配置为不自行轮换其日志，这只会导致它打开一个新日志，这在 logrotate 轮换日志之后立即发生。）

以日期命名轮换的审计日志

答案1

相关内容