Мой audispd регистрирует множество ошибок переполнения очереди.
Jun 9 08:46:29 web audispd: queue is full - dropping event
Я хотел бы лучше понять, почему очередь заполняется и есть ли лучший способ решить проблему, чем постоянное увеличение q_depth (в настоящее время до 300). Я думаю, что я не должен видеть столько сообщений, что очередь не может быть обработана. Итак, как мне узнать, что находится в очереди и почему она не удаляется? (Событий не должно быть много, это очень тихий веб-сервер)
Видеть эта тема, который включает ответ от auditd
сопровождающий. Это не очень информативно, но дает хорошие подсказки.
Я сделал, как было предложено, и установил priority_boost = 8
, который, кажется, решил проблему для меня.
Страницы руководства для audispd.conf и audisp-remote.conf кажется, предполагает, что queue_depth
это более правильный параметр для настройки. Однако вы заметили, что это не сработало для вас.
Я не очень хорошо понимаю что priority_boost
есть, но я предполагаю, что это предотвращает постановку событий аудита в очередь с самого начала или, по крайней мере, не позволяет проводить в очереди столько времени. Таким образом, меньше шансов, что очередь заполнится.
Похоже, что нет подробных инструкций о том, как установить эти параметры, это просто вопрос их настройки, пока они не будут работать.