公司目前還有部分主機在跑 REHL 3,而且一定要執行audit服務,只好改用定期刪檔的方式來處理:
# remove old save.xxx from /var/log/audit.d every week (2010.10.25 by Andowson)
46 4 * * 0 root find /var/log/audit.d -name save.* -mtime +730 -type f -print0 -exec rm -rf {} \;
其中 -mtime +730是找出修改日期大於730天的檔案,也就是save.xxx最長會保留730天,也就是保留兩年。
參考資料:
http://sucre.javaeye.com/blog/544164