Я хотел бы использовать OSQuery вместо демона аудита Linux. В моем тестировании на Ubuntu 18.04, если OSQuery привязывается к модулю безопасности ядра и установлен пакет auditd, он жалуется на неправильный формат сообщений аудита. Удаление пакета auditd решает эту проблему.
Я также хотел бы использовать AppArmor, который также генерирует значительное количество событий для системы аудита ядра.
Постоянно вижу такие сообщения: audit: audit_lost = 21473 audit_rate_limit = 0 audit_backlog_limit = 4096.
Когда у меня был установлен пакет аудита, я мог использовать "auditctl -b XXX" для увеличения лимита невыполненной работы аудита. Но этот инструмент был удален с пакетом auditd.
Я пробовал установить флаг «-b 8096» в файл /etc/audit/rules.d/audit.rules, но предел невыполненной работы всегда остается фиксированным и равен 4096.
Есть ли какой-то другой параметр в чем-то вроде sysctl.conf, который можно использовать для управления размером журнала аудита?
Заранее спасибо.