[root@rock:/var/log/audit] : service auditd status
Redirecting to /bin/systemctl status auditd.service
auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-01-11 08:24:35 EST; 51min ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Process: 94529 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
Process: 94513 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 94515 (auditd)
CGroup: /system.slice/auditd.service
+-94515 /sbin/auditd
+-94517 /sbin/audispd
+-94519 /usr/sbin/sedispatch
Jan 11 08:24:35 rock augenrules[94529]: lost 4892
Jan 11 08:24:35 rock augenrules[94529]: backlog 0
Jan 11 08:24:35 rock augenrules[94529]: enabled 1
Jan 11 08:24:35 rock augenrules[94529]: failure 1
Jan 11 08:24:35 rock augenrules[94529]: pid 94515
Jan 11 08:24:35 rock augenrules[94529]: rate_limit 0
Jan 11 08:24:35 rock augenrules[94529]: backlog_limit 1048576
Jan 11 08:24:35 rock augenrules[94529]: lost 4892
Jan 11 08:24:35 rock augenrules[94529]: backlog 0
Jan 11 08:24:35 rock systemd[1]: Started Security Auditing Service.
RHEL 7.9で使用するときは、auditd
すべてがうまくいっていると思いますが、上記の操作を実行するとロースト 4892
価値の喪失はどういう意味ですか?悪いですか?ゼロになりたいですか?
以下は参考のために私のものです。/etc/audit/auditd.conf
#
# This file controls the configuration of the audit daemon
#
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 100
# max log file size in MB, does not matter with KEEP_LOGS
max_log_file = 10000
max_log_file_action = KEEP_LOGS
# no log rotation
num_logs = 0
priority_boost = 0
admin_space_left_action = SINGLE
disk_full_action = SINGLE
disk_error_action = SINGLE
disp_qos = LOSSLESS
dispatcher = /sbin/audispd
name_format = HOSTNAME
space_left = 500
admin_space_left = 300
space_left_action = email
verify_email = yes
action_mail_acct = root
use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no
答え1
-s オプションを使用するときに auditctl のマニュアルページに従って監査を使用する初心者:
-sはカーネルの監査サブシステムの状態を報告します。 -e, -f, -r, -b オプションで設定できるカーネル値をお知らせします。 pid 値は監査デーモンのプロセス番号です。 pidが0の場合、監査デーモンが実行されていないことを意味します。欠落しているエントリは、カーネル監査キューのオーバーフローによって削除されたイベントレコードの数を示します。。 backlogフィールドは、現在auditdが読み取るのを待っているイベントレコードの数を示します。このオプションの後に-iを付けて複数のフィールドを解釈できます。
部分について話す失われた値は太字で表示されます。