Fora da caixa, o auditd gira depois que 6 MiB são gravados em /var/log/audit/audit.log
.
Assim, quando o auditd emite suas mensagens de log rotativas com freqüência, pode ser um sinal de que uma quantidade incomum de mensagens de log de auditoria é produzida.
Então é provável que uma política do SELinux esteja faltando ou precise ser estendida (cf. audit2why / audit2allow). Outra causa pode ser os arquivos errados (cf. restorecon).
Como alternativa, a quantidade de logs de auditoria também pode ser causada pela atividade normal, apenas porque é um sistema ocupado. Nesse caso, pode fazer sentido aumentar o limite de tamanho de rotação em ( /etc/audit/auditd.conf
).
Além disso, o auditd registra essa mensagem com a gravidade do syslog 'AVISO', ou seja, eles não aparecem em journalctl
de saída quando correspondem apenas a níveis mais altos. Mas esteja ciente de que o auditd também usa o AVISO de severidade para mensagens mais sérias (incluindo algumas condições de erro).