微信订阅号二维码

本页内容二维码:

本栏目热门内容
  • Windows 系统安全基线及软...
  • CIS-CAT 配置评估工具介绍...
  • 修改audispd.conf解决审计...
  • 详细了解微软安全合规工具...
  • 从甲方角度介绍“CIS互联...
  • 2022年甲方个人网络安全运...
  • 业务导向安全策略#5员工培...
  • 微软安全合规工具包(SCT...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#17突...
  • CIS关键安全控制措施#1总...
  • SELINUX介绍连载#3:什么...
  • 安装RHEL/CentOS时如何选...
  • CIS关键安全控制措施#6访...
  • 网络安全日志收集甲方基础...
  • CIS RAM风险评估方法5篇目...
  • 关于OpenSCAP/SCAP安全策...
  • CIS RAM#4实施防护措施、...
  • SELINUX介绍连载#1:基础...
  • 业务导向安全策略#1数据管...
  • 什么是网络行为异常检测(...
  • CIS关键安全控制措施集18...
  • SELINUX介绍连载#2:模式...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#8审...
  • 内网DNS服务器安全性能基...
  • CIS RAM#1风险评估方法核...
  • 业务导向安全策略#2信息限...
  • CIS关键安全控制措施#15服...
  • 更多...

    修改audispd.conf解决审计事件丢失的问题。

    作者:Sender  来源:WaveCN.com  发布日期:2022-02-12  最后修改日期:2022-10-09

    一台服务器,安装使用CentOS7,启用了SELinux,对系统进行了大量优化后作为软路由服务器,双千兆口配置为802.3ad 端口捆绑模式,日常承担约400台PC的流量,运行状态良好。

    然后,通过LogWatch设置收集日志并转发到管理员邮件集中查看。发现,每天通过LogWatch产生的日志邮件中,总是有如下的提示:

    
    --------------------- Kernel Audit Begin ------------------------
    **Unmatched Entries** 
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch err (pipe full) event lost
    dispatch error reporting limit reached - ending report notification.
    
    

    看多了就觉得比较烦,要调整一下。究其原因,这个信息是audispd服务产生的。audispd服务是由auditd服务启动的,负责把转发的审计事件通知给其它应用而不是写入到日志文件。而auditd服务则是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。

    出现这个情况的原因,很显然就是服务器比较繁忙,产生的审计事件较多,审计事件管道队列深度不够,导致审计事件丢失而没有被正确转发。

    解决办法是简单地修改auditd的配置文件:

    /etc/audisp/audispd.conf

    设置其中的队列深度配置值:

    q_depth=4096

    然后重新加载配置信息:

    service auditd reload

    问题消失。

    注1:auditd不能通过systemctl去操作,只能使用service命令。

    注2:q_depth的数值可以视情况调整。我一开始改为2048,发现问题依然存在,改为4096后就没有了。

    欢迎关注微信公众号后私信讨论文章内容!
    本栏目相关
  •  2022-02-12 修改audispd.conf解决审计事件丢失的问题。