Несколько дней назад я заметил, что диск моего сервера Ubuntu почти заполнен. Я немного покопался и обнаружил, что дисковое пространство использовалось OSSEC, в /var/ossec/queue/diff папка.
Я хотел попробовать что-нибудь немедленно, поэтому удалил содержимое этой папки. Все работало нормально, и использование дискового пространства вернулось к «нормальному» объему.
Но папка очереди OSSEC снова растет.
Есть ли настройка, запрещающая очереди OSSEC использовать все дисковое пространство?
Кажется, если вы добавите report_changes в свои каталоги, как я, это может вызвать следующее: / home / wordpress / sites /
Отчет об изменениях OSSEC поддерживает отправку изменений при внесении изменений в текстовые файлы в системах Linux и unix.
Настроить syscheck для отображения различий очень просто, добавьте report_changes = "yes" в
/ etc / bin, / sbin Примечание. Изменения отчета могут работать только с текстовыми файлами, и изменения хранятся в агенте внутри / var / ossec / queue / diff / local / dir / file. Если OSSEC не был скомпилирован с поддержкой libmagic, report_changes скопирует любой указанный файл, например mp3, iso, исполняемый файл, / chroot / dev / urandom (который заполнит ваш жесткий диск). Поэтому, если не используется libmagic, будьте очень осторожны в том, в каком каталоге вы включаете report_changes.
Насколько мне известно, сама OSSEC не удаляет логи. Посмотрите на документация
Где хранятся журналы OSSEC? ¶
На сервере OSSEC и локальных установках существует несколько классов журналов OSSEC. Это журналы, созданные демонами OSSEC, сообщения журнала от агентов и предупреждения. Установки агента не имеют журналов от других агентов или предупреждений, но имеют журналы, созданные процессами OSSEC.
Все журналы хранятся в подкаталогах / var / ossec / logs. Сообщения журнала OSSEC хранятся в /var/ossec/logs/ossec.log.
Сообщения журнала от агентов по умолчанию не сохраняются. После анализа они удаляются, если эта опция не включена в файл ossec.conf менеджера. Если установлено, все сообщения журнала, отправленные менеджеру, хранятся в /var/ossec/logs/archives/archives.log и обновляются ежедневно.
Оповещения хранятся в /var/ossec/logs/alerts/alerts.log и меняются ежедневно.
Вы можете использовать logrotate для поворота журналов ossec, но /var/ossec/queue/diff папка это отдельная история.
Вы можете безопасно удалить там файлы и поддерживать функциональность OSSEC, но вы потеряете отчеты о различиях.
Logrotate - это ответ (как упомянул Ленни), но это сработает только время от времени. Почему бы не использовать давно забытые знания о дисковых квотах чтобы журналы не съели все свободное место?