Может ли auditd использовать дату вместо целого числа для именования своих ротационных журналов аудита? Прямо сейчас у меня есть
audit.log
audit.log.1
audit.log.2
...
когда audit.log заполняет все файлы поворачиваются на одну цифру выше. У меня есть сценарий, который выполняет резервное копирование журналов аудита, и tar сбивается с толку, когда видит, что все файлы перемещаются под ним. Я хотел бы назвать файлы по дате, чтобы они не перемещались, когда audit.log заполняет.
auditd не может этого сделать. Его встроенная функция ротации журналов работает размер, а не по дате.
У вас должна быть возможность отключить встроенную ротацию журналов auditd, а затем настроить logrotate для ротации журналов. Это делает именовать файлы по дате. В /etc/audit/auditd.conf:
num_logs = 0
В /etc/logrotate.d/auditd (настраивайте как хотите):
/var/log/audit/audit.log {
daily
missingok
notifempty
sharedscripts
rotate 2
compress
delaycompress
postrotate
/usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
endscript
}
(Сигнал USR1 сообщает auditd о необходимости ротации журналов. Поскольку он сконфигурирован таким образом, чтобы не чередовать журналы, это просто заставляет его открывать новый журнал, что происходит сразу после того, как logrotate произвел ротацию журнала.)