var/log/audit.d/ full 문제

리눅스 시스템에는 LAUS(Linux Auditing-SubSystem)이 있어서 시스템에서 일어나는 변화를 로깅하는 감사시스템이 존재한다.
로깅 내용은 # aucat 이나 # augrep 으로 확인 할 수 있다.
이 로그는 디폴트로 /var/log/audit.d/ 아래에 bin.0~4 라는 파일에 기록되며 bin.0 부터 bin.4까지 다 쓰여지면 save.* 파일로 보관되고 bin.*을 rotating 해가며 쓰여지게 된다.
따라서 save.* 파일은 시스템에 계속 누적이 되어 결국 파일시스템을 full이 되게 만들어 시스템에 문제를 일으킬 수 있다.
이런 문제를 방지하기 위한 방법으로 LAUS를 아주 내려버리는 방법이 있고, 또는 save.*로 보관되는 것을 안하게 하는 방법이 있다.
물론 save.*파일을 주기적으로 삭제해주는 방법도 있겠지만 auditing 기능은 어느정도 필요 할 수 있으므로 후자를 택해 save.*로 보관되는 것을 막기로 한다.
방법은 아래와 같다.

1. /etc/audit/audit.conf의 내용을 다음과 같이 수정한다.
======================================================================
output {
mode  = bin;
num-files = 4;
file-size = 20M;
file-name = "/var/log/audit.d/bin";
#notify  = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C"; <--- 주석
notify  = "/bin/true";          <--- 변경
======================================================================
위 커맨드를 실행하지 않고 그냥 true를 LAUS에 리턴하겠다는 의미 같음.

2. 재구동
# service audit restart