감사된 Augenrule이 의미를 잃었습니다.

tag-icon tag-icon linux-audit
감사된 Augenrule이 의미를 잃었습니다. 
[root@rock:/var/log/audit] : service auditd status
Redirecting to /bin/systemctl status auditd.service
  auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2021-01-11 08:24:35 EST; 51min ago
     Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
  Process: 94529 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
  Process: 94513 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
 Main PID: 94515 (auditd)
   CGroup: /system.slice/auditd.service
           +-94515 /sbin/auditd
           +-94517 /sbin/audispd
           +-94519 /usr/sbin/sedispatch

Jan 11 08:24:35 rock augenrules[94529]: lost 4892
Jan 11 08:24:35 rock augenrules[94529]: backlog 0
Jan 11 08:24:35 rock augenrules[94529]: enabled 1
Jan 11 08:24:35 rock augenrules[94529]: failure 1
Jan 11 08:24:35 rock augenrules[94529]: pid 94515
Jan 11 08:24:35 rock augenrules[94529]: rate_limit 0
Jan 11 08:24:35 rock augenrules[94529]: backlog_limit 1048576
Jan 11 08:24:35 rock augenrules[94529]: lost 4892
Jan 11 08:24:35 rock augenrules[94529]: backlog 0
Jan 11 08:24:35 rock systemd[1]: Started Security Auditing Service.

RHEL 7.9에서 사용할 때는 auditd모든 것이 잘 돌아가고 있다고 생각하지만, 위의 작업을 수행하면로스트 4892

가치 상실은 무슨 뜻인가요? 나쁜가요? 0이 되기를 바라야 할까요?

아래는 참고용으로 내 것입니다./etc/audit/auditd.conf

#
# This file controls the configuration of the audit daemon
#

local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW

flush = INCREMENTAL_ASYNC
freq = 100

# max log file size in MB, does not matter with KEEP_LOGS
max_log_file = 10000

max_log_file_action = KEEP_LOGS

# no log rotation
num_logs = 0
priority_boost = 0

admin_space_left_action = SINGLE
disk_full_action = SINGLE
disk_error_action = SINGLE

disp_qos = LOSSLESS
dispatcher = /sbin/audispd
name_format = HOSTNAME

space_left = 500
admin_space_left = 300

space_left_action = email
verify_email = yes
action_mail_acct = root

use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no

답변1

-s 옵션을 사용할 때 auditctl 매뉴얼 페이지에 따라 감사를 사용하는 초보자:

-s는 커널의 감사 하위 시스템 상태를 보고합니다. -e, -f, -r, -b 옵션으로 설정할 수 있는 커널 값을 알려드립니다. pid 값은 감사 데몬의 프로세스 번호입니다. pid가 0이면 감사 데몬이 실행되고 있지 않음을 의미합니다.누락된 항목은 커널 감사 대기열 오버플로로 인해 삭제된 이벤트 레코드 수를 알려줍니다.. backlog 필드는 현재 auditd가 읽을 때까지 대기 중인 이벤트 레코드 수를 알려줍니다. 이 옵션 뒤에 -i를 붙여 여러 필드를 해석할 수 있습니다.

부분에 대해 이야기하기잃어버린값은 굵게 표시됩니다.

관련 정보