Отказ от ответственности: Я не аккредитованный и не очень опытный системный администратор, но мне поручили некоторые обязанности системного администратора.
Задача: Найдите способ регистрировать все действия по управлению учетной записью (например, создание учетной записи, изменение, удаление и т. Д.) На сервере Ubuntu 16.04 LTS и сохранить информацию журнала не менее 6 месяцев.
подробности:
Предыдущий системный администратор установил аудит к системе в качестве первого шага в решении этой проблемы.
При беге:
sudo systemctl status auditd.service
systemd отвечает, что служба успешно работает и ожидает событий. Насколько я понимаю, этот пакет (аудит) это то, что мне нужно для выполнения задачи. Кажется, что служба уже запущена и ведет журнал, так где я могу найти и сохранить файлы журнала в течение 6 месяцев?
Файл "/var/log/audit/audit.log" существует, и файл заполнен аудиторской информацией
Читая больше информации о том, как работает Auditd, я подозреваю, что решение может заключаться в настройке ротации журнала аудита. Я не совсем понимаю, как работают ротации, но я считаю, что файлы журналов поворачиваются, когда размер файла достигает определенного предела, а не по тому, сколько времени прошло. Думаю, я могу настроить ротацию, изменив файл "/etc/audit/auditd.conf".
Итак, зная эти детали (пожалуйста, запросите дополнительную информацию, если она вам нужна), как я могу приступить к выполнению Задачи?
Большое спасибо за всю помощь заранее!
Я бы использовал шаги настройки auditd отсюда: https://access.redhat.com/solutions/661603
исключение части cron и использование вместо этого logrotate, его функции сжатия и настроек хранения на основе времени. Подробнее см. man logtotate.
Например. сжимать, ежемесячно, выполнять постротацию (с помощью команды из приведенного выше решения) и вращать 5.
Будьте осторожны с настройкой интервала и чередования, пример может привести к ситуациям, когда прибл. Хранится 150 дней. В зависимости от ваших требований ежедневно / еженедельно с поворотом 180/30 может быть лучше.