Linux

auditctl 緩衝區設置 - 這是多大?

  • June 24, 2015

audit.rules在CentOS 5、6 和 7的預設文件中,設置了以下內容:

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

但是,沒有提及提供的數字是什麼單位。

手冊頁auditctl不清楚:

OPTIONS
      -b backlog
             Set max number of outstanding audit buffers allowed 
             (Kernel Default=64) If all buffers  are  full,  the
             failure flag is consulted by the kernel for action.

我已經看到有關此值的建議,其中包含大量可能的數字(320、8192,一直到 32768 及以上)。

我想確保我設置的值是合理的,並且我不僅僅是覆蓋低效audit.rules文件的痕跡。

是否存在某種隱含的核心/審計緩衝區大小?這裡有什麼建議?

backlog 選項限制可以排隊等待寫入日誌的消息數。所以 backlog 選項的單位不是字節或連接,而是“審計消息的數量”。

為此設置選擇一個合理的值完全取決於您的系統。我建議從預設值開始並根據需要增加它。如果您超過了積壓限制,那麼您將audit: backlog limit exceeded在日誌中看到該消息。

積壓隊列儲存在記憶體中,因此增加積壓限制將隨著隊列的增長而增加記憶體消耗。每條消息通常不到 9000 字節。您不希望積壓限制太低,但您也不希望設置一個可能會佔用很大一部分系統記憶體的高得離譜的值。

引用自:https://serverfault.com/questions/701335