如何判断auditd是否已暂停日志记录？

Question

如果在auditd.conf中放置以下内容，则当磁盘上有50 on或更少的空间时，auditd将挂起日志记录：

admin_space_left = 50
admin_space_left_action = SUSPEND

外部程序，例如monit检查，如何知道auditd是否已达到此暂停状态？

(我意识到，当EXEC挂起日志记录时，您也可以使用auditd操作来做一些事情，但这不符合我的目的。)

Answer 1

在一个CentOS系统上，当满足各种磁盘空间限制时，我必须要做的是结构化的.

space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

这将导致当包含审计日志的分区上的空闲空间低于75 on时，将此消息发送给syslog。

5月21日08:53:01 c6test auditd五八五一：auditd守护进程磁盘空间较低用于日志记录

类似地，当空间低于74 to时，此消息将发送给syslog。

5月21日08:54:01 c6test auditd五八五一：auditd守护进程由于磁盘空间低而暂停日志记录。

因此，为了回答您的问题，它向syslog写了一条消息，然后发现它进入了您的系统日志，因此可以配置monit来查找它。

实际消息是什么以及它被写入哪个日志文件可能取决于操作系统和/或发行版。