Несколько дней назад я заметил, что диск моего сервера Ubuntu был почти полон. Я вырыл немного и узнал, что дисковое пространство использовалось OSSEC, в /var/ossec/queue/diff
папка.
Я хотел попробовать что-то непосредственное, таким образом, я удалил содержание этой папки. Все работало обычно и использование дискового пространства назад к "нормальной" сумме.
Но папка очереди OSSEC растет снова.
Существует ли установка, чтобы препятствовать тому, чтобы очередь OSSEC использовала все дисковое пространство?
Насколько мне известно, сама OSSEC не удаляет логи. См. Документацию
Где хранятся журналы OSSEC? ¶
На сервере OSSEC и локальных установках существует несколько классов OSSEC журналы. Есть журналы, созданные демонами OSSEC, журнал сообщения от агентов и предупреждения. Установки агента не имеют журналы от других агентов или предупреждений, но есть журналы, созданные Процессы OSSEC.
Все журналы хранятся в подкаталогах / var / ossec / logs. Сообщения журнала OSSEC хранятся в /var/ossec/logs/ossec.log.
Сообщения журнала от агентов по умолчанию не сохраняются. После анализа они удаляются, если опция не включена в ossec.conf менеджера. Если установлен, все сообщения журнала отправляются менеджеру хранятся в /var/ossec/logs/archives/archives.log и меняются ежедневно.
Оповещения хранятся в /var/ossec/logs/alerts/alerts.log и меняются ежедневно.
Вы можете использовать logrotate для ротации журналов ossec, но папка / var / ossec / queue / diff
- это совсем другая история.
Вы можете безопасно удалить файлы там и поддерживать функциональность OSSEC, но вы потеряете отчеты о различиях .
Logrotate - это ответ (как упомянул Ленни), но это сработает только время от времени. Почему бы не использовать давно забытую информацию о дисковой квоте , чтобы журналы не съели все свободное пространство?
Похоже, если вы добавите report_changes в свои каталоги, как это сделал я, может быть причиной этого:/ home / wordpress / sites /
Отчет об изменениях OSSEC поддерживает отправку различий при внесении изменений в текстовые файлы в системах Linux и unix.
Настроить syscheck для отображения различий очень просто, добавьте report_changes = "yes" к
/ и т. Д. / bin, / sbin Примечание. Изменения отчета могут работать только с текстовыми файлами, и изменения хранится на агенте внутри / var / ossec / queue / diff / local / dir / file. Если OSSEC не был скомпилирован с поддержкой libmagic, report_changes будет скопируйте любой указанный файл, например mp3, iso, исполняемый файл, / chroot / dev / urandom (который заполнит ваш жесткий диск). Так что если libmagic используется, будьте очень осторожны, в каком каталоге вы включаете report_changes.