Por que o audispd está descartando eventos? O que está na fila?

Navegue suas respostas
2

Meu audispd continua registrando vários erros de fila cheia. 

 Jun  9 08:46:29 web audispd: queue is full - dropping event

Eu gostaria de entender melhor por que a fila está sendo preenchida e se existe uma maneira melhor de resolver o problema do que aumentar continuamente o q_depth (atualmente até 300). Meus pensamentos são que eu não deveria estar vendo tantas mensagens que a fila não pode ser processada. Então, como eu descubro o que está na fila e porque não está sendo descartado? (Não deve haver muitos eventos, é um servidor web muito silencioso)

    
por user126785 09.06.2015 / 11:53

1 resposta

0

Veja este tópico , que inclui uma resposta do auditd mantenedor. Não é super informativo, mas dá algumas boas dicas.

Eu fiz como sugerido, e defina priority_boost = 8 , o que parece ter corrigido os problemas para mim.

As páginas de manual para audispd.conf e audisp-remote.conf parece sugerir que queue_depth é o parâmetro mais correto para ajustar. No entanto, você observou que isso não estava funcionando para você.

Eu não entendo bem o que o priority_boost faz, mas presumo que isso evite que os eventos de auditoria sejam enfileirados para começar, ou pelo menos que passe muito tempo na fila. Portanto, há menos chances de a fila ficar cheia.

Não parece haver muita orientação sobre como definir esses parâmetros, é só uma questão de ajustá-los até que funcionem.

    
por 16.11.2017 / 18:16

Tags

É possível configurar os computadores associados ao domínio via GP ou então registrar-se automaticamente para a atualização gratuita do Windows 10 Não consigo fazer com que a filtragem de segurança do GPO funcione para usuários