73.7. Настройка ротации журналов аудита
Правила ротации журналов аудита настраиваются в файле /etc/audit/auditd.conf.
Например, для того чтобы при нехватке места на диске старые записи затирались новыми, необходимо внести следующие изменения в файл
/etc/audit/auditd.conf:
max_log_file = 8
space_left = 100
space_left_action = ROTATE
где:
max_log_file — максимальный размер файла журнала в Мбайт;
space_left — минимум свободного пространства в Мбайт;
space_left_action — действие (в данном случае старые файлы журналов будут удаляться, освобождая место для новых).
После внесения изменения в файл
/etc/audit/auditd.conf, для того чтобы новые настройки вступили в силу необходимо перезапустить auditd:
# /etc/init.d/auditd restart
