Einmal täglich wird die aktive audit.log Datei gespeichert und eine neue audit.log Datei gestartet. Der Name der gespeicherten Datei gibt an, wann sie gespeichert wurde, im Format yyyy-mm-dd.txt. Wenn an einem Tag mehr als ein Audit-Protokoll erstellt wird, verwenden die Dateinamen das Datum, an dem die Datei mit einer Zahl angehängt wurde, im Format yyyy-mm-dd.txt.n. Beispiel: 2018-04-15.txt Und 2018-04-15.txt.1 sind die ersten und zweiten Protokolldateien, die am 15. April 2018 erstellt und gespeichert wurden.

Nach einem Tag wird die gespeicherte Datei komprimiert und umbenannt, im Format yyyy-mm-dd.txt.gz , wodurch das ursprüngliche Datum erhalten bleibt. Mit der Zeit wird der für Prüfprotokolle zugewiesene Admin-Knotenspeicher verbraucht. Ein Skript überwacht den Speicherplatzverbrauch des Audit-Protokolls und löscht Protokolldateien nach Bedarf, um Speicherplatz im /var/local/audit/export/ Verzeichnis. Prüfprotokolle werden basierend auf dem Datum gelöscht, an dem sie erstellt wurden. Die ältesten Protokolle werden zuerst gelöscht. Sie können die Aktionen des Skripts in der folgenden Datei überwachen: /var/local/log/manage-audit.log .

Dieses Beispiel zeigt die aktive audit.log Datei, die Datei des Vortages (2018-04-15.txt) und die komprimierte Datei für den Vortag (2018-04-14.txt.gz).