CentOS 5、6、および7のデフォルトのaudit.rules
ファイル内で、以下が設定されます。
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
ただし、提供された番号がどの単位であるかについては言及されていません。
auditctl
のマニュアルページが明確ではありません:
OPTIONS
-b backlog
Set max number of outstanding audit buffers allowed
(Kernel Default=64) If all buffers are full, the
failure flag is consulted by the kernel for action.
考えられる数の膨大な範囲(320、8192、32768以降まで)を含むこの値の推奨事項を見てきました。
設定している値が正気であり、非効率的なaudit.rules
ファイルのトラックを単にカバーしているのではないことを確認したいと思います。
カーネル/監査バッファーのある種の暗黙のサイズはありますか?ここでの推奨事項は何ですか?
バックログオプションは、ログへの書き込みを待機してキューに入れることができるメッセージの数を制限します。したがって、バックログオプションの単位はバイトや接続ではなく、「監査メッセージの数」です。
この設定に適切な値を選択するかどうかは、システムによって異なります。デフォルトから始めて、必要に応じて増やすことをお勧めします。バックログの制限を超えると、ログにaudit: backlog limit exceeded
というメッセージが表示されます。
バックログキューはメモリに保存されるため、バックログ制限を増やすと、キューが大きくなるにつれてメモリ消費量が増加します。通常、各メッセージは9000バイト弱です。バックログ制限が低すぎることは望ましくありませんが、システムメモリのかなりの部分を消費する可能性のある非常に高い値を設定することも望ましくありません。