Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Настройка ротации журналов событий на сервере аудита

Настройка ротации журналов событий на сервере аудита#

Настройку ротации журналов, которые перенаправляются с контроллеров домена на сервер аудита из состава домена ПКД согласно настоящей инструкции, необходимо проводить с помощью утилиты logrotate. Основные сведения о работе данной утилиты приведены в разделе.

Ниже приведены файлы конфигурации для утилиты logrotate, обеспечивающие ротацию всех журналов, которые создаются в папке /var/log/aldpro/ на сервера аудита.

  1. Файл конфигурации /etc/logrotate.d/access_dirsrv для ротации журнала доступа к службе каталога, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/access_dirsrv.log {
    hourly
    rotate 10
    minsize 1G
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/audit_dirsrv для ротации журнала аудита службы каталога, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/audit_dirsrv.log {
    hourly
    rotate 10
    minsize 100M
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/error_dirsrv для ротации журнала ошибок службы каталога, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/error_dirsrv.log {
    hourly
    rotate 5
    minsize 100M
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/security_dirsrv для ротации журнала событий безопасности службы каталога, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/security_dirsrv.log {
    hourly
    rotate 5
    minsize 100M
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/samba для ротации журнала событий службы samba, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/samba.log {
    hourly
    rotate 5
    minsize 10M
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/dns_audit для ротации журнала событий трансфера зоны DNS, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/dnszone.log {
    hourly
    rotate 5
    minsize 1M
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/kerberos_audit для ротации журнала событий получения билетов службы kerberos, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/krb_audit.log {
    hourly
    rotate 10
    minsize 1G
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/user_proc для ротации журнала событий запуска новых процессов пользователями домена, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/userproc.log {
    hourly
    rotate 10
    minsize 1G
    compress
    missingok
    notifempty
}

  1. Файл конфигурации /etc/logrotate.d/ldap_audit для ротации журнала событий подключения к каталогу ldap, который необходимо создать с правами «644», внести в него следующую информацию и сохранить:

/var/log/aldpro/ldapconnect.log {
    hourly
    rotate 10
    minsize 1G
    compress
    missingok
    notifempty
}

После создания описанных выше файлов конфигурации необходимо добавить ежечасный запуск утилиты logrotate в конфигурационный файл утилиты cron. Для этого необходимо скопировать файл /etc/cron.daily/logrotate в каталог /etc/cron.hourly и выполнить команду под пользователем root или другим привилегированным пользователем, который может запускать утилиту logrotate:

crontab -e

Затем в открывшемся файле конфигурации утилиты cron добавить новую строку (запуск утилиты /usr/sbin/logrotate от имени пользователя каждый час каждого дня в 0 минут) и сохранить сделанные изменения:

0 * * * * /usr/sbin/logrotate /etc/logrotate.conf