73.7. Настройка ротации журналов аудита
Правила ротации журналов аудита настраиваются в файле /etc/audit/auditd.conf
.
Например, для того чтобы при нехватке места на диске старые записи затирались новыми, необходимо внести следующие изменения в файл
/etc/audit/auditd.conf
:
max_log_file = 8
space_left = 100
space_left_action = ROTATE
где:
max_log_file
— максимальный размер файла журнала в Мбайт;
space_left
— минимум свободного пространства в Мбайт;
space_left_action
— действие (в данном случае старые файлы журналов будут удаляться, освобождая место для новых).
После внесения изменения в файл
/etc/audit/auditd.conf
, для того чтобы новые настройки вступили в силу необходимо перезапустить auditd:
# /etc/init.d/auditd restart