本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
审核日志文件轮换
贡献者
建议更改
审核日志文件会保存到管理节点的 ` /var/local/audit/export` 目录中。活动的审核日志文件名为 audit.log
。
您也可以更改审核日志的目标并将审核信息发送到外部系统日志服务器。配置外部系统日志服务器后,仍会生成并存储审核记录的本地日志。请参见 配置审核消息和日志目标。 |
每天保存一次活动的 audit.log
文件,并启动一个新的 audit.log
文件。已保存文件的名称以 ` yyyy-mm-dd.txt_` 的格式指示其保存时间。如果在一天内创建了多个审核日志,则文件名将使用保存文件的日期,并附加一个数字,格式为 ` yyyy-mm-dd.txt.n_` 。例如, 2018-04-15.txt
和 2018-04-15.txt.1
是在 2018 年 4 月 15 日创建并保存的第一个和第二个日志文件。
一天后,保存的文件将按 ` yyyy-mm-dd.txt.gz_` 格式进行压缩和重命名,从而保留原始日期。随着时间的推移,这会导致为管理节点上的审核日志分配的存储被占用。脚本可监控审核日志空间占用情况,并根据需要删除日志文件,以释放 ` /var/local/audit/export` 目录中的空间。审核日志会根据创建日期进行删除,最早的日志会先删除。您可以在以下文件中监控脚本的操作: ` /var/local/log/manage-audit.log` 。
此示例显示了活动的 audit.log
文件,前一天的文件(2018-04-15.txt
)和前一天的压缩文件(2018-04-14.txt.gz
)。
audit.log 2018-04-15.txt 2018-04-14.txt.gz