Как узнать, приостановил ли auditd ведение журнала?

Глядя на исходный код (в версии 2.6.7), нет никакого другого способа получить текущее «приостановленное» состояние, кроме как присоединить отладчик к процессу и заставить его сбросить значение logging_suspended внутренняя переменная.

Вы можете отправить тестовое сообщение и убедиться, что оно зарегистрировано. Таким образом, вы бы проверили приостановлено условие, но также и для всего, что препятствует регистрации. То есть вы должны убедиться, что все работает правильно.

msg="audit test $(uuidgen)" || exit # generate unique message
auditctl -m "$msg" || exit # send the unique message
sleep 1 # enough time for the message to be logged
ausearch -ts recent -m USER | grep -Fqe "$msg" && echo OK

В системе CentOS я должен указать, что делать при соблюдении различных ограничений дискового пространства ...

space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

Это приводит к тому, что это сообщение отправляется в системный журнал, когда свободное место на разделе, в котором находится журнал аудита, становится меньше 75 МБ.

21 мая, 08:53:01 c6test auditd [5851]: демону аудита не хватает места на диске для ведения журнала.

Аналогично, когда пространство становится меньше 74 МБ, это сообщение отправляется в системный журнал.

21 мая, 08:54:01 c6test auditd [5851]: демон аудита приостанавливает ведение журнала из-за нехватки места на диске.

Итак, чтобы ответить на ваш вопрос, он записывает сообщение в системный журнал, которое затем попадает в ваши системные журналы, поэтому monit можно настроить для его поиска.

Что представляет собой фактическое сообщение и в какой файл журнала оно записывается, вероятно, зависит от ОС и / или дистрибутива.