YB
Sergey D.
Возможно из-за увеличенного числа процессоров. Это мои догадки. Т.е. с увеличением к-ва ядер в теории увеличивается нагрузка и на auditbeat.
Не должно это быть видимо невооруженным взглядом
Size: a a a
2020 October 01
YB
Ну и не стоит переоценивать iowait имхо
YB
Percentage of time that the CPU or CPUs were idle during which the system had an outstanding disk I/O request. Therefore, %iowait means that from the CPU point of view, no tasks were runnable, but at least one I/O was in progress. iowait is simply a form of idle time when nothing could be scheduled.
S
Глянул в доку - оно комбайн.. какие модули включены?
Да, комбайн. Тем и хорош, что нормализует в читаемый текст вызовы. Модули: Audit, system - только (login и users).
A
file_integrity прям легко может быть причиной
Тормозить может, например, и из-за одних лишь правил. Например, если включено отслеживание всех сисколлов, касающихся /var/lib/docker, и ты решил сделать docker pull.
YB
Alexander
Тормозить может, например, и из-за одних лишь правил. Например, если включено отслеживание всех сисколлов, касающихся /var/lib/docker, и ты решил сделать docker pull.
Тоже верно
A
Хотя в такой ситуации iowait, по идее, возникать у auditd/auditbeat не должен.
YB
Alexander
Тормозить может, например, и из-за одних лишь правил. Например, если включено отслеживание всех сисколлов, касающихся /var/lib/docker, и ты решил сделать docker pull.
Но тогда будет спайк в количестве сообщений
YB
И это видно будет в кибане/грейлоге
A
Но тогда будет спайк в количестве сообщений
Может быть не docker pull, а какая-то стабильная фоновая нагрузка. Например, работающая в докере СУБД.
YB
В любом случае профайлер покажет, кто виноват..
YB
Но это надо заморочиться
S
Percentage of time that the CPU or CPUs were idle during which the system had an outstanding disk I/O request. Therefore, %iowait means that from the CPU point of view, no tasks were runnable, but at least one I/O was in progress. iowait is simply a form of idle time when nothing could be scheduled.
Какой там может быть iowait без fim... Шину системную он не перегрузит, у меня ограниченный набор вызовов.
Смотрю на release notes последних версий - ничего не фиксят по ресурсопотреблению.
Хотя по socket разработчик написал, что возможен баг с cpu load. Но я socket не использую.
Смотрю на release notes последних версий - ничего не фиксят по ресурсопотреблению.
Хотя по socket разработчик написал, что возможен баг с cpu load. Но я socket не использую.
G
Это же auditd, я правильно понимаю?
Ну тут смысл заменить auditd, на аудитбит. Он сразу занимается обогащением и склейкой событий. Да и json удобнее
YB
Ну тут смысл заменить auditd, на аудитбит. Он сразу занимается обогащением и склейкой событий. Да и json удобнее
Ну если смысл в этом, то да
YB
Хотя у меня имхо, что это занятие для SIEM софта
YB
У безопасников свой бюджет, вот пусть там и обогащают
G
Я и есть безопасник)))
YB
Тады ой :)
AS
дак вот ты какой! безопасник!