方法一:通过 audit 配置文件设置
1.1 设置 audit 日志的保存时间
# vim /etc/audit/auditd.conf确保部分内容如下:
......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......(
补充:这里以
1) 开启 audit 日志 (local_events = yes) (write_logs = yes)
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 (num_logs =5)
为例
)
1.2 让设置的 audit 时间生效
# service auditd restart方法二:通过 logrotate 配置文件设置
2.1 设置 audit 日志的保存时间
# vim /etc/logrotate.d/auditd创建以下内容:
/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}(
补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)
)
2.2 让设置的 audit 时间生效
# systemctl restart logrotate.service