CentOS 7システムでは、次のメッセージが1日に複数回記録されます。
Sep 24 00:11:42 example.org auditd[756]: Audit daemon rotating log files
Sep 24 00:26:23 example.org auditd[756]: Audit daemon rotating log files
(例:実行中に表示されるjournalctl -fa)
まあ、私はこのメッセージの重要性を本当に理解していません。つまり、auditdは、ログファイルを(繰り返し、定期的に)置き換えることがどれほど重要かを報告します。
だから私の質問はそのようなログメッセージを無効にする方法です。
ベストアンサー1
デフォルトでは、auditdは6MiBを書き込んで回転します/var/log/audit/audit.log。
したがって、auditdが頻繁に循環ログメッセージをエクスポートすると、異常な数の監査ログメッセージが生成されていることが示されることがあります。
これにより、SELinuxポリシーが欠落しているか拡張される必要がある可能性が高くなります(audit2why / audit2allowを参照)。別の原因は無効なファイルタグである可能性があります(restoreconを参照)。
あるいは、システム使用量が多いため、通常のアクティビティによって監査ログの量が発生する可能性があります。この場合、/etc/audit/auditd.conf( )で回転サイズの制限を増やすことが合理的である可能性があります。
journalctlそれ以外の場合、 auditd は syslog 重大度 "note" を使用してこれらのメッセージを記録します。つまり、より高いレベルのみが一致した場合、出力には表示されません。ただし、 auditd は、いくつかのエラー状態を含む、より深刻なメッセージに対しても重大度通知を使用します。