<html><body>
<p>    Thanks for the reply Steve. <br>
<br>
<img width="16" height="16" src="cid:1__=0ABBFE66DFCE340F8f9e8a93df938@us.ibm.com" border="0" alt="Inactive hide details for Steve Grubb <sgrubb@redhat.com>">Steve Grubb <sgrubb@redhat.com><br>
<br>
<br>
<tt>On Friday 31 October 2008 14:21:12 David Flatley wrote:<br>
>     If you would indulge my simpler in comparison question of the group. I<br>
> am setting up audit on heavy usage systems. I have setup my auditd.conf to<br>
> rotate the files once they get to 70 meg and allow up to 12 rotated files.<br>
<br>
You don't need to limit the files to 12 unless you are short on disk space. <br>
you can use keep_logs as the max_log_file option and one will not be lost.</tt><br>
<br>
Disk space is not a problem if the day's logging is collected and stored, which is required,<br>
<tt><br>
> I created a cron that runs hourly to look and see if a ninth rotated file<br>
> exists and if so run "ausearch -i" outputted to a file and store the<br>
> file,<br>
<br>
You shouldn't need to ausearch the file? Are you doing that to split the file <br>
on a time hack? In that case you can just about as easily do a "service <br>
auditd rotate" and force auditd to end at a certain time rather than by size.<br>
</tt><br>
<tt>Yes and then I could use ausearch -if <file> when I need to look at the logs</tt><br>
<tt>after they have been moved to storage. Or apply the ausearch -i when I do the</tt><br>
<tt>storage of the file, I do this to convert from numerical to text on the file.<br>
<br>
> then remove the rotated files. I run the cron to avoid losing data if <br>
> there is alot of activity and rotated files are rolled off. I also have to<br>
> balance performance with auditing in this arrangement.<br>
<br>
Perhaps we need the capability of switching out partitions used for logging? <br>
Maybe that could be solved by using the space left action exec capability to <br>
run a custom program that re-writes the audit config file or changes a <br>
symlink to point to another config file to point to a new dir and then sends <br>
sighup to the parent (auditd).<br>
<br>
Maybe some others have ideas about how they solve the same problem. If we need <br>
to make changes to the audit daemon to make this smoother, let me know what's <br>
needed.<br>
<br>
-Steve<br>
</tt><br>
</body></html>