Audit Log Rotate
Audit log rotate yaparak audit trail dosyasını istediğiniz boyuta geldiğinde tarih ve saat belirtecek şekilde otomatik olarak böldürmeniz mümkün. Bunun için aşağıdaki adımları takip edebilirsiniz.
audit log rotate (audit trail rotate)
1) vi editörü ile bincmd dosyasını açın;
1 |
vi /etc/security/audit/bincmds |
2) /usr/sbin/auditcat -p -o $trail $bin satırını aşağıdaki satır ile kendinize uygun olarak değiştirin.
1 |
/usr/sbin/auditcat -p -s <size> -d <backup_folder> -o $trail $bin |
buradaki <size> – 512 byte bloklardan oluşmaktadır.
Örnek:
1 |
/usr/sbin/auditcat -p -s 20480 -d /audit/backup -o $trail $bin |
Burada yaptığımız ayarla audit trail dosyası 10 MB olunca /audit/backup/Trail.YYYYMMDDThhmmss.<rasgele numaralar> şeklinde belirttiğimiz dizine bölünecektir.
Çıktısı aynen böyle gözükecektir:
trail.20141101T195132.580635 (yani 1 Kasım 2014 saat 19:51:32).(sonrasındaki alan rasgele numaralardan oluşan bölümdür)
Bu işlem sonrasında trail dosyanız bincmd dosyasında belirlemiş olduğunuz dosya boyutu sınırına ulaşana dek; sıfırlanarak log tutmaya devam eder.
3) Yaptığınız ayarların aktif olması için bincmds dosyasını değiştirdikten sonra audit’i yeniden başlatmanız gerekir.
1 2 |
audit shutdown audit start |
( Not: Burada anlattığım audit log rotate işlemi AIX 6.1 sunucularda test edilmiş ve başarılı bir şekilde çalıştığı görülmüştür. )

audit trail bin log rotate
how to rotate audit (trail) logs
By default the <cmds> translates to /etc/security/audit/bincmds and the content is this:
1 |
/usr/sbin/auditcat -p -o $trail $bin |
Solution:
If you want the bin trail to be rotated automatically, simply use auditcat syntax like this in /etc/security/audit/bincmds :
1 |
/usr/sbin/auditcat -p -s <size> -d <backup_folder> -o $trail $bin |
<size> – is in 512 byte blocks
For example if you use:
1 |
/usr/sbin/auditcat -p -s 20480 -d /audit/backup -o $trail $bin |
then when /audit/trail exceeds 10MB the contents will be copied to file /audit/backup/trail.YYYYMMDDThhmmss.<random number> where YYYYMMDDThhmmss is <date>T<time> string like:
trail.20141101T195132.580635 (Nov 01th, 2014 at 19:51:32).
and the /audit/trail file will be truncated.
# Restart audit after bincmds file has been modified.