fragen stichworte

Warum löscht audispd Ereignisse? Was ist in der Warteschlange?

Mein audispd protokolliert weiterhin viele volle Fehler in der Warteschlange.

Jun  9 08:46:29 web audispd: queue is full - dropping event

Ich möchte besser verstehen, warum die Warteschlange voll ist und ob es eine bessere Möglichkeit gibt, das Problem zu lösen, als kontinuierlich die q_depth zu erhöhen (derzeit bis zu 300). Meine Gedanken sind, dass ich nicht so viele Nachrichten sehen sollte, dass die Warteschlange nicht verarbeitet werden kann. Also, wie finde ich heraus, was in der Warteschlange ist und warum es nicht ausgespült wird? (Es sollte nicht viele Ereignisse geben, es ist ein sehr ruhiger Webserver)

antworten

Siehe diesen Thread, der eine Antwort des Maintainers auditd enthält. Es ist nicht sehr informativ, aber es gibt einige gute Hinweise.

Ich tat wie vorgeschlagen und stellte priority_boost = 8 ein, was die Probleme für mich behoben zu haben scheint.

Die Manpages für audispd.conf und audisp-remote.conf scheinen zu vermuten, dass queue_depth der richtige Parameter für die Einstellung ist. Sie haben jedoch festgestellt, dass dies für Sie nicht funktioniert hat.

Ich verstehe nicht gut, was priority_boost tut, aber ich gehe davon aus, dass Prüfereignisse zunächst nicht in die Warteschlange gestellt werden oder zumindest so viel Zeit in der Warteschlange verbringen. Die Chance, dass die Warteschlange voll wird, ist also geringer.

Es scheint nicht viel Anleitung zu geben, wie man diese Parameter einstellt, es ist nur eine Frage der Abstimmung, bis sie funktionieren.