как настроить rsyslog для того, чтобы журналы elk-auditbeat не сохранялись в / var / log / messages
Я установил audit-beat в моем centos7, здесь журналы аудита хранятся в / var / log / messages файл. Из-за журналов аудита мой диск каждый раз заполняется. Как настроить rsyslog , чтобы не сохранять журналы аудита в файле / var / log / messages ?
0
задан mallikarjunareddy
12 September 2019 в 13:24
Ссылка
1 ответ
По умолчанию флаг -e отправляет вывод на стандартный вывод. Вы можете удалить эту опцию из юнит-файлов systemd. Должно помочь.
sed -e '/BEAT_LOG_OPTS=-e/ s/^#*/#/' -i /lib/systemd/system/{auditbeat,metricbeat,filebeat}.service
systemctl daemon-reload
systemctl restart metricbeat filebeat
Нашел ответ/подсказку в этой ветке
Обратите внимание, что в beats 7.7+ конфигурация изменилась, поэтому описанное выше не работает.
https://github.com/elastic/beats/issues/12024#issuecomment-628925105
0
ответ дан NoelProf
2 June 2020 в 00:57
Ссылка