Назовите ротацию журналов аудита с датой
Может ли auditd использовать дату вместо целого числа для именования своих ротируемых журналов аудита? Прямо сейчас у меня есть
audit.log
audit.log.1
audit.log.2
...
Когда заполняется audit.log , все файлы меняются на одну цифру выше. У меня есть сценарий, который выполняет резервное копирование журналов аудита, и tar сбивается с толку, когда видит, что все файлы перемещаются под ним. Я хотел бы назвать файлы по дате, чтобы все они не перемещались при заполнении audit.log .
аудит не может этого сделать. Его встроенное вращение логов работает по размеру , а не по дате.
Вы должны иметь возможность отключить встроенное в auditd вращение логов, а затем настроить logrotate на вращение логов. Он делает имена файлов по дате. В /etc/audit/auditd.conf:
num_logs = 0
В /etc/logrotate.d/auditd (настраивайте по своему усмотрению):
/var/log/audit/audit.log {
daily
missingok
notifempty
sharedscripts
rotate 2
compress
delaycompress
postrotate
/usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
endscript
}
(Сигнал USR1 говорит auditd вращать свои журналы. Так как он настроен не вращать сам свои журналы, это просто заставляет его открывать новый журнал, что происходит сразу после того, как logrotate повернул журнал)
.