ahlt 策略和 cnt 策略一起控制由于审计队列已满而无法接受更多事件时发生的状况。
–cnt 和 –ahlt 策略独立且相关。结合使用这些策略可以带来以下效果:
-ahlt +cnt 是随附的缺省策略。通过此缺省值,可以允许处理审计事件,即使无法记录事件也是如此。
-ahlt 策略指明,如果无法将一个异步事件的审计记录放入内核审计队列,系统将对事件计数并继续处理。在全局区域,as_dropped 计数器会记录该计数。
+cnt 策略指明,如果一个同步事件已到达却无法被放入内核审计队列,系统将对事件计数并继续处理。区域的 as_dropped 计数器会记录该计数。
-ahlt +cnt 配置通常在那些即使继续处理会导致审计记录丢失,也必须继续处理的站点上使用。auditstatdrop 字段显示区域中丢弃的审计记录数。
+ahlt -cnt 策略指明,当异步事件无法添加到内核审计队列时,处理将会停止。
+ahlt 策略指明,如果一个异步事件的审计记录无法被放入内核审计队列,所有处理都将停止。系统将进入混乱状态。异步事件将不会进入审计队列,而必须通过调用栈上的指针恢复。
-cnt 策略指明,如果一个同步事件无法被放入内核审计队列,则会阻塞尝试发送事件的线程。该线程将被放入休眠队列,直到审计空间可用。不会保留计数。在审计空间可用之前,程序看上去可能处于挂起状态。
在每个审计事件记录的重要性高于系统可用性的站点上,通常使用 +ahlt -cnt 配置。auditstat wblk 字段显示线程被阻塞的次数。
但是,如果发生异步事件,系统将进入混乱状态,从而导致故障。可以通过保存的故障转储手动恢复审计事件的内核队列。异步事件将不会进入审计队列,而必须通过调用栈上的指针恢复。
-ahlt -cnt 策略指明,如果异步事件无法被放入内核审计队列,将对事件计数,并继续处理。如果一个同步事件无法被放入内核审计队列,则会阻塞尝试发送事件的线程。该线程将被放入休眠队列,直到审计空间可用。不会保留计数。在审计空间可用之前,程序看上去可能处于挂起状态。
在那些所有同步审计事件的记录比部分异步审计记录的潜在损失重要的站点上,通常使用 -ahlt -cnt 配置。auditstat wblk 字段显示线程被阻塞的次数。
+ahlt +cnt 策略指明,如果异步事件无法放入内核审计队列,系统将进入混乱状态。如果无法将同步事件放入内核审计队列,系统将对事件计数,然后继续处理。