Como suprimir as mensagens de log rotativas do daemon de auditoria?

2

Em um sistema do CentOS 7, mensagens como essas são registradas várias vezes ao dia:

Sep 24 00:11:42 example.org auditd[756]: Audit daemon rotating log files
Sep 24 00:26:23 example.org auditd[756]: Audit daemon rotating log files

(eles aparecem, por exemplo, ao executar journalctl -fa )

Bem, eu realmente não vejo o ponto nessas mensagens. Quero dizer, exatamente como é importante que o auditd esteja relatando que está (novamente e regularmente) girando seus arquivos de log.

Assim, minha pergunta é como desativar esse tipo de mensagens de log.

    
por maxschlepzig 24.09.2014 / 01:07

1 resposta

4

Fora da caixa, o auditd gira depois que 6 MiB são gravados em /var/log/audit/audit.log .

Assim, quando o auditd emite suas mensagens de log rotativas com freqüência, pode ser um sinal de que uma quantidade incomum de mensagens de log de auditoria é produzida.

Então é provável que uma política do SELinux esteja faltando ou precise ser estendida (cf. audit2why / audit2allow). Outra causa pode ser os arquivos errados (cf. restorecon).

Como alternativa, a quantidade de logs de auditoria também pode ser causada pela atividade normal, apenas porque é um sistema ocupado. Nesse caso, pode fazer sentido aumentar o limite de tamanho de rotação em ( /etc/audit/auditd.conf ).

Além disso, o auditd registra essa mensagem com a gravidade do syslog 'AVISO', ou seja, eles não aparecem em journalctl de saída quando correspondem apenas a níveis mais altos. Mas esteja ciente de que o auditd também usa o AVISO de severidade para mensagens mais sérias (incluindo algumas condições de erro).

    
por 24.09.2014 / 17:50