我的audispd不断logging大量的队列满错误。
Jun 9 08:46:29 web audispd: queue is full - dropping event 我想更好地理解为什么队列正在填满,以及是否有更好的方法来解决这个问题,而不是继续增加q_depth(目前为300)。 我的想法是,我不应该看到这么多的消息,队列不能被处理。 那么,我怎样才能找出队列中的内容以及为什么没有被刷新呢? (不应该有很多事件,这是一个非常安静的Web服务器)
看到这个线程 ,其中包括auditd维护者的响应。 这不是超级信息,但它提供了一些很好的提示。
我按照build议,并设置priority_boost = 8 ,这似乎已经解决了我的问题。
audispd.conf和audisp-remote.conf的manpages似乎暗示queue_depth是更正确的参数。 但是,您注意到这不适合您。
我不太清楚priority_boost是做什么的,但是我认为它可以防止审计事件排队,或者至less在队列中花费太多的时间。 所以队列变得越来越less
关于如何设置这些参数似乎没有太多的指导,只是调整他们,直到他们的工作。