修改audispd.conf解决审计事件丢失的问题。

作者:Sender Su  来源:原创内容  发布日期:2022-02-12  最后修改日期:2022-10-09

一台服务器,安装使用CentOS7,启用了SELinux,对系统进行了大量优化后作为软路由服务器,双千兆口配置为802.3ad 端口捆绑模式,日常承担约400台PC的流量,运行状态良好。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

然后,通过LogWatch设置收集日志并转发到管理员邮件集中查看。发现,每天通过LogWatch产生的日志邮件中,总是有如下的提示:


--------------------- Kernel Audit Begin ------------------------
**Unmatched Entries** 
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch err (pipe full) event lost
dispatch error reporting limit reached - ending report notification.

看多了就觉得比较烦,要调整一下。究其原因,这个信息是audispd服务产生的。audispd服务是由auditd服务启动的,负责把转发的审计事件通知给其它应用而不是写入到日志文件。而auditd服务则是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。

出现这个情况的原因,很显然就是服务器比较繁忙,产生的审计事件较多,审计事件管道队列深度不够,导致审计事件丢失而没有被正确转发。

解决办法是简单地修改auditd的配置文件:

/etc/audisp/audispd.conf

设置其中的队列深度配置值:

q_depth=4096

然后重新加载配置信息:

service auditd reload

问题消失。

注1:auditd不能通过systemctl去操作,只能使用service命令。

注2:q_depth的数值可以视情况调整。我一开始改为2048,发现问题依然存在,改为4096后就没有了。

本栏目相关
  •  2022-02-12 修改audispd.conf解决审计事件丢失的问题。
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • CIS-CAT 配置评估工具介绍及操作实践
  • 如何把Windows的事件日志收集到Syslog日志服务器?...
  • Windows 系统安全基线及软件工具介绍
  • 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434...
  • 网络攻防中的色彩象征
  • 安装RHEL/CentOS时如何选择配置安全策略?...
  • 修改audispd.conf解决审计事件丢失的问题。...
  • 从甲方角度介绍“CIS互联网安全中心”...
  • 详细了解微软安全合规工具包(SCT)...
  • 新鲜钓鱼邮件实例详细分析
  • 网络安全加固基准:CIS Benchmarks 2023年5月的更新...
  • CIS关键安全控制措施#1总览
  • Windows LAPS:本地管理员密码解决方案...
  • 从甲方角度浅析网络安全紫队
  • 微软安全合规工具包(SCT)操作实战...
  • 2022年甲方个人网络安全运维基础工具...
  • Linux服务器恶意代码防范
  • DNS子域名发掘工具两项
  • 网络安全日志收集甲方基础实践
  • 应用网络安全加固基准:CIS Benchmarks 2024年3月及之前的更新...
  • Windows服务器如何设置Defender杀毒?
  • 实测 Process Monitor 的系统启动日志功能确实强...
  • CIS关键安全控制措施集18项完整目录
  • 关于OpenSCAP/SCAP安全策略的介绍
  • 什么是网络行为异常检测(NBAD)?
  • 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(下篇)...
  • 开源代码漏洞扫描器 OSV-Scanner 新增修复和离线功能...
  • 深度配置Linux系统日志审计
  • MSSQL数据库自动备份和自动复制转移备份...
  • 更多...