<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Oct 20, 2016 at 7:32 AM, leam hall <span dir="ltr"><<a href="mailto:leamhall@gmail.com" target="_blank">leamhall@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In this case, Steve talks about the system being taken down due to audit logs filling up the volumes. When that's not the best idea for a server, it looks like logrotate is a better choice. </blockquote></div><br></div><div class="gmail_extra">No. You misunderstand.<br>auditd CAN be configured to take the system down when there's no more space for audit logs; it does not do this by default. (See auditd.conf's various *_action directives, e.g., disk_full_action.) There is IMHO very little reason to switch to using logrotate. Please check out `man auditd.conf`.<br></div></div>