免責事項：これは英文の記事「Disk usage increases due to audit.log rotation failure caused by max_log_file_action set to IGNORE(425241)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

GUI にて Low Disk Space の警告が表示される場合があります。ルートパーティションまたは /var/log パーティションのディスク使用率が高くなっています。du / ls コマンドによる調査で、/var/log/audit ディレクトリ内の audit.log ファイルが大量の領域を消費していることが確認されます。

ファイル確認の例:
ls -l /var/log/audit/
total 178257920 -rw------- 1 root root 182536110080 YYYY-MM-DDTHH:MM:SS audit.log

VMware Skyline Health Diagnostics
VMware vCenter Server

設定ファイル /etc/audit/auditd.conf の末尾に max_log_file_action = IGNORE という設定が含まれています。この設定は、ファイルの上部で定義されている max_log_file_action = ROTATE などの設定を上書きします。その結果、auditd サービスはファイルサイズ制限を無視し、ローテーションを行わずに単一のログファイルへの書き込みを継続します。

この問題を解決するには、重複した設定行を削除し、肥大化したログファイルをクリアした後、アプライアンスを再起動します。

1. root ユーザーとして SSH でアプライアンスにログインします。

2. 設定ファイルの内容を確認します。
   cat /etc/audit/auditd.conf

3. テキストエディタでファイルを開きます。
   vi /etc/audit/auditd.conf

4. ファイルの末尾にある max_log_file_action = IGNORE の行を削除します。ファイル上部にある max_log_file_action = ROTATE が残っていることを確認してください。

5. ファイルを保存して閉じます。

6. ディスク容量を即座に確保するため、現在の audit.log のファイルサイズを 0 バイトに切り詰めます。
   truncate -s 0 /var/log/audit/audit.log

7. 設定変更を適用し auditd プロセスの状態を正常に戻すため、アプライアンスを再起動します。
   reboot

8. アプライアンスの再起動後、ログが正常にローテーションされているか、またはファイルサイズが想定内に収まっているかを確認します。
   ls -l /var/log/audit/