audispdがイベントをドロップするのはなぜですか?キューには何がありますか?
私のaudispdは、大量のキューフルエラーをログに記録し続けます。
Jun 9 08:46:29 web audispd: queue is full - dropping event
キューがいっぱいになる理由と、q_depth(現在は最大300)を継続的に増やすよりも、問題を解決するためのより良い方法があるかどうかをよりよく理解したいと思います。私の考えでは、キューを処理できないほど多くのメッセージを表示するべきではありません。では、キューに何が入っているのか、なぜそれがフラッシュされないのかを知るにはどうすればよいですか? (イベントはそれほど多くないはずです。非常に静かなWebサーバーです)
このスレッド を参照してください。これには、auditdメンテナからの応答が含まれます。それはあまり有益ではありませんが、それはいくつかの良いヒントを与えます。
提案どおりに実行し、priority_boost = 8を設定しました。これにより、問題が修正されたようです。
audispd.conf および audisp-remote.conf のマンページは、queue_depthが調整するより正しいパラメーターであることを示唆しているようです。しかし、あなたはこれがあなたのために働いていなかったと述べました。
priority_boostが何をするのかよくわかりませんが、監査イベントが最初からキューに入れられるのを防ぐか、少なくともキューに多くの時間を費やすのを防ぐと思います。したがって、キューがいっぱいになる可能性は低くなります。
これらのパラメータを設定する方法についてはあまりガイダンスがないようです。機能するまでパラメータを調整するだけです。