我的一些 Linux 服务器在日志中出现了如下错误...
auditd[1074]: Error receiving audit netlink packet (No buffer space available)
我知道如何解决这个问题(调整 audit.rules 中的审计缓冲区设置),但我想知道这会产生什么影响?
我是否真的在博客中丢失了 auditd 事件?缓冲区空间不足时是否无法写入事件?
我一直在谷歌搜索,但没有找到确切的答案。
答案1
您可以尝试增加 auditd 的缓冲区大小。在 rhel 8 中,它将位于 /etc/audit/rules.d/audit.rules