分类: LINUX
2007-02-28 09:44:07
在/var/log/audit.d目录下的文件是由Linux审计子系统(Linux Audit
Subsystem,简称LAuS)产生的。为了安全目的,LAuS在启动以后,默认配置是会记
录一些特定的系统活动。如果不需要进行安全审计,可以通过以下命令关机LAuS服务:
service audit stop
chkconfig audit off
停止LAuS服务以后,在/var/log/audit.d目录下面的任何save.*文件都可以删除。
我们推荐您原封不动的保留bin.*文件, 以备将来使用。LAuS功能在红帽企业版
Linux3以上版本默认没有打开。
因为LAuS被用来作安全审计,所以它的日志文件是不会自动删除,会一直保留。如
果您的系统负载比较重,并且在执行LAuS监控系统, LAuS的日志文件会增长的很
快,有可能会占满/var的空间导致系统崩溃。有几种方式可以用来阻止以上事件发
上。最简单的方法是定时监控 /var/log/audit.d目录的大小,删除过时的save.*
文件。另一种技术是不要把归档的审计日志保存为save.*文件。修改
/etc/audit/audit.conf里面的notify行,用/bin/true代替原先的/usr/sbin/audbin:
/etc/audit/audit.conf
output {
mode = bin;
num-files = 4;
file-size = 20M;
file-name = "/var/log/audit.d/bin";
notify = "/bin/true";
第三种方式是写一个脚本定时删除save.*文件。
