关于 Audit log

　　问题

　　/var/log/audit.d 目录中日志文件增长迅速，使/var/log空间不足。

　　解决方案

　　Audit是系统中的一个服务，属于laus-0.1-65RHEL3这个包。

　　laus是Linux Audit-Subsystem (LAuS)的缩写。

　　这一服务用来审计系统调用的纪录，并把记录写入文件当中。

　　其中，写入有三种模式：文件模式，流模式，二进制模式。

　　文件模式和流模式产生的内容和syslogd产生的模式极其类似，区别在于文件模式将记录写入文件，而流模式将记录送到标准输入的外部命令。二进制模式，也是将记录写入二进制文件中。这些二进制文件，可以是一些中等大小的文件，也可以是两个大文件。当所有文件写满后，会覆盖先前的文件。

　　相关文件：

　　/sbin/auditd 守护程序

　　/etc/audit/audit.conf 守护程序的默认配置文件

　　/etc/audit/filter.conf 守护程序默认的过滤文件

　　启动/关闭：

　　1.用 /etc/init.d/audit start或stop来启动或关闭该服务。

　　2.通过如下命令设置自动启动：

　　chkconfig --add audit

　　chkconfig --del audit