我的 audispd 不断记录大量队列已满错误。
Jun 9 08:46:29 web audispd: queue is full - dropping event
我想更好地了解队列填满的原因,以及是否有比不断增加 q_depth(目前最高为 300)更好的解决问题的方法。我的想法是,我不应该看到太多消息以至于队列无法处理。那么,我如何找出队列中的内容以及为什么没有将其清除?(应该没有太多事件,这是一个非常安静的 Web 服务器)
答案1
看此主题,其中包括维护者的回复auditd。它不是非常有用,但提供了一些很好的提示。
我按照建议进行操作并设置priority_boost = 8,这似乎已经为我解决了问题。
手册页audispd.conf和audisp-remote.conf似乎表明这queue_depth是更正确的调整参数。但是,您指出这对您不起作用。
我不太明白这priority_boost到底是什么,但我认为它可以防止审计事件排队,或者至少可以防止在队列中花费太多时间。因此队列变满的可能性较小。
关于如何设置这些参数似乎没有太多指导,只需对其进行调整直至它们起作用即可。