По умолчанию audit.rules файл на CentOS 5, 6 и 7 устанавливается следующее:
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
Тем не менее, нет никакого упоминания о том, какой единицей является предоставленный номер.
Страница руководства для auditctl непонятно:
OPTIONS
-b backlog
Set max number of outstanding audit buffers allowed
(Kernel Default=64) If all buffers are full, the
failure flag is consulted by the kernel for action.
Я видел рекомендации для этого значения, которые охватывают огромный диапазон возможных чисел (320, 8192, вплоть до 32768 и выше).
Я хочу убедиться, что устанавливаемое мной значение является разумным и что я не просто заметаю следы неэффективного audit.rules файл.
Есть ли какой-то подразумеваемый размер буфера ядра / аудита? Какая здесь рекомендация?
Параметр невыполненного журнала ограничивает количество сообщений, которые могут быть поставлены в очередь в ожидании записи в журнал. Таким образом, единица измерения невыполненной работы - это не байты или соединения, а скорее «количество сообщений аудита».
Выбор разумного значения для этого параметра полностью зависит от вашей системы. Я бы рекомендовал начать со значения по умолчанию и увеличивать его по мере необходимости. Если вы превысите лимит невыполненных работ, вы увидите сообщение audit: backlog limit exceeded в ваших журналах.
Очередь невыполненных работ хранится в памяти, поэтому увеличение лимита невыполненных работ приведет к увеличению потребления памяти по мере роста очереди. Каждое сообщение обычно имеет размер чуть менее 9000 байт. Вы не хотите, чтобы предел невыполненной работы был слишком низким, но вы также не хотите устанавливать безумно высокое значение, которое могло бы съесть значительную часть вашей системной памяти.