Chinaunix首页 | 论坛 | 博客
  • 博客访问: 568143
  • 博文数量: 44
  • 博客积分: 5017
  • 博客等级: 大校
  • 技术积分: 508
  • 用 户 组: 普通用户
  • 注册时间: 2006-10-17 16:03
文章分类

全部博文(44)

文章存档

2011年(1)

2010年(1)

2009年(1)

2008年(5)

2007年(22)

2006年(14)

我的朋友

分类: LINUX

2007-02-28 09:44:07

在/var/log/audit.d目录下的文件是由Linux审计子系统(Linux Audit
Subsystem,简称LAuS)产生的。为了安全目的,LAuS在启动以后,默认配置是会记
录一些特定的系统活动。如果不需要进行安全审计,可以通过以下命令关机LAuS服务:

service audit stop
chkconfig audit off

停止LAuS服务以后,在/var/log/audit.d目录下面的任何save.*文件都可以删除。
我们推荐您原封不动的保留bin.*文件, 以备将来使用。LAuS功能在红帽企业版
Linux3以上版本默认没有打开。

因为LAuS被用来作安全审计,所以它的日志文件是不会自动删除,会一直保留。如
果您的系统负载比较重,并且在执行LAuS监控系统, LAuS的日志文件会增长的很
快,有可能会占满/var的空间导致系统崩溃。有几种方式可以用来阻止以上事件发
上。最简单的方法是定时监控 /var/log/audit.d目录的大小,删除过时的save.*
文件。另一种技术是不要把归档的审计日志保存为save.*文件。修改
/etc/audit/audit.conf里面的notify行,用/bin/true代替原先的/usr/sbin/audbin:

/etc/audit/audit.conf


output {
mode = bin;
num-files = 4;
file-size = 20M;
file-name = "/var/log/audit.d/bin";
notify = "/bin/true";


第三种方式是写一个脚本定时删除save.*文件。
阅读(4930) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~