审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
开启审核策略,若日后系统出现故障、安全事故则可以查看系统日志文件,排除故障、追查入侵者的信息等。
查看rsyslog与auditd服务是否开启
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
防止重要日志信息被覆盖
让日志文件转储一个月,保留6个月的信息
启动审计:/bin/systemctl start auditd.service
查看状态:service auditd status
查看配置:more /etc/logrotate.conf | grep -v "^#\|^$"
可能是由于监控目录没有配置,报错
Journal has been rotated since unit was started. Log output is incomplete or unavailable.