audit.rules在CentOS 5、6 和 7 上的默认文件中,设置以下内容:
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
但没有提及所提供的数字是什么单位。
的手册页auditctl不清楚:
OPTIONS
-b backlog
Set max number of outstanding audit buffers allowed
(Kernel Default=64) If all buffers are full, the
failure flag is consulted by the kernel for action.
我见过对此值的建议,其中包含大量可能的数字(320、8192,一直到 32768 及以上)。
我想确保我设置的值是合理的,并且我不仅仅是掩盖低效audit.rules文件的痕迹。
内核/审计缓冲区是否有某种隐含的大小?这里的建议是什么?