我想使用 OSQuery 而不是 Linux 审计守护程序。在我针对 Ubuntu 18.04 进行的测试中,如果 OSQuery 绑定到内核安全模块并且安装了 auditd 包,它会抱怨审计消息格式不正确。删除 auditd 包可以解决这个问题。
我还想使用 AppArmor,它也为内核审计系统生成了大量事件。
我经常看到这样的消息:审计:audit_lost=21473 audit_rate_limit=0 audit_backlog_limit=4096
当我安装了审计包时,我可以使用“auditctl -b XXX”来增加审计积压限制。但该工具已随 auditd 包一起被删除。
我已尝试在 /etc/audit/rules.d/audit.rules 文件中放置“-b 8096”标志,但积压限制始终固定为 4096。
sysctl.conf 之类的文件中是否有其他设置可用于控制审计积压的大小?
提前致谢。