Назад | Перейти на главную страницу

Как я могу контролировать лимит невыполненной работы аудита без установленного пакета auditd?

Я хотел бы использовать OSQuery вместо демона аудита Linux. В моем тестировании на Ubuntu 18.04, если OSQuery привязывается к модулю безопасности ядра и установлен пакет auditd, он жалуется на неправильный формат сообщений аудита. Удаление пакета auditd решает эту проблему.

Я также хотел бы использовать AppArmor, который также генерирует значительное количество событий для системы аудита ядра.

Постоянно вижу такие сообщения: audit: audit_lost = 21473 audit_rate_limit = 0 audit_backlog_limit = 4096.

Когда у меня был установлен пакет аудита, я мог использовать "auditctl -b XXX" для увеличения лимита невыполненной работы аудита. Но этот инструмент был удален с пакетом auditd.

Я пробовал установить флаг «-b 8096» в файл /etc/audit/rules.d/audit.rules, но предел невыполненной работы всегда остается фиксированным и равен 4096.

Есть ли какой-то другой параметр в чем-то вроде sysctl.conf, который можно использовать для управления размером журнала аудита?

Заранее спасибо.