audit.rules在CentOS 5、6 和 7 的默认文件中,设置如下:
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
但没有提及所提供的数字是什么单位。
的手册页auditctl不清楚:
OPTIONS
-b backlog
Set max number of outstanding audit buffers allowed
(Kernel Default=64) If all buffers are full, the
failure flag is consulted by the kernel for action.
我看到过针对该值的建议,它涵盖了大量可能的数字(320、8192,一直到 32768 及以上)。
我想确保我设置的值是合理的,并且不仅仅是掩盖了低效audit.rules文件的踪迹。
内核/审计缓冲区是否存在某种隐含的大小?这里的建议是什么?
答案1
backlog 选项限制了可以排队等待写入日志的消息数量。因此 backlog 选项的单位不是字节或连接,而是“审计消息数量”。
为此设置选择一个合理的值完全取决于您的系统。我建议从默认值开始,然后根据需要增加它。如果超出积压限制,那么您将audit: backlog limit exceeded在日志中看到该消息。
积压队列存储在内存中,因此增加积压限制将随着队列的增长而增加内存消耗。每条消息通常略低于 9000 字节。您不希望积压限制太低,但也不希望设置过高的值,因为这可能会占用系统内存的很大一部分。