Q&A
前提・実現したいこと
■前提
業務サーバのログを集めているサーバをV2Vのため、停止⇒移動⇒起動したところ、
auditdのログが出力されるようになりました。
V2V前後でログを集める対象の増減はありませんでした。
OS:RHEL7.6
■実現したいこと
・エラーメッセージが出力された原因の特定
・エラーメッセージが出力されなくなること
発生している問題・エラーメッセージ
auditd[xxxxx]: dispatch err (pipe full) event lost auditd[xxxxx]: dispatch err (pipe full) event lost auditd[xxxxx]: dispatch err (pipe full) event lost ・ ・ ・ auditd[xxxxx]: dispatch error reporting limit reached - ending report nootification.
試したこと
auditd.confの以下の記述を変更することで出力されなくなるだろうことまでは調査をいたしました。
ですが、原因が判明していないために下記変更で良いものか判断できておりません。
×disp_qos=lossy
○disp_qos=lossless
知見をお持ちの方がいらっしゃいましたら、お手数ではございますが、
アドバイスをいただけますと幸いです。
回答1件
0
ベストアンサー
なんらかのログがバーストしているのだと思います。
https://access.redhat.com/solutions/3549511 によると、解決策は /etc/audisp/audispd.conf ファイルの q_depth の値を増やす、原因究明は aureport --start this-week -e --summary -i などで急に増えたログ/イベントを探せ、とのことです。
投稿2021/04/19 13:26
総合スコア12218
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/04/20 06:13