修改audispd.conf解决审计事件丢失的问题。

一台服务器，安装使用CentOS7，启用了SELinux，对系统进行了大量优化后作为软路由服务器，双千兆口配置为802.3ad 端口捆绑模式，日常承担约400台PC的流量，运行状态良好。

笔者：国际认证信息系统审计师、软考系统分析师

然后，通过LogWatch设置收集日志并转发到管理员邮件集中查看。发现，每天通过LogWatch产生的日志邮件中，总是有如下的提示：

--------------------- Kernel Audit Begin ------------------------
**Unmatched Entries** 
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch error reporting limit reached - ending report notification.

看多了就觉得比较烦，要调整一下。究其原因，这个信息是audispd服务产生的。audispd服务是由auditd服务启动的，负责把转发的审计事件通知给其它应用而不是写入到日志文件。而auditd服务则是Linux审计系统的用户空间组件，它负责将审计记录写入磁盘。

出现这个情况的原因，很显然就是服务器比较繁忙，产生的审计事件较多，审计事件管道队列深度不够，导致审计事件丢失而没有被正确转发。

解决办法是简单地修改auditd的配置文件：

/etc/audisp/audispd.conf

设置其中的队列深度配置值：

q_depth=4096

然后重新加载配置信息：

service auditd reload

问题消失。

注1：auditd不能通过systemctl去操作，只能使用service命令。

注2：q_depth的数值可以视情况调整。我一开始改为2048，发现问题依然存在，改为4096后就没有了。

本页网址二维码：