<div dir="ltr"><div><div><div><div><div><div>Hi everyone, I work in an environment with Internet-isolated networks.<br><br></div>I am having a problem that presents the following in /var/log/messages:<br></div><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br><b>auditd[787]: </b>dispatch err (pipe full) event lost<br></div><b>auditd[787]: </b>dispatch error reporting limit reached - ending report notification<br><br></div>While tailing the /var/log/audit/audit.log I notice a high volume of data pouring into the file; looked like it was tied to the same "keyed" audit rule, so I commented out all of the rules associated with that -k "key."<br><br></div>I restarted the audit daemon, and continued to monitor the /var/log/audit/audit.log; and the speed at which records were pouring in was drastically reduced; however, /var/log/messages is still reporting the same dispatch errors.<br><br></div>The rules that are pegging audit.log (and forcing it to roll over every 2 minutes at a size of 36MB) were commented out, and /usr/sbin/ntpd (I think through the adjtimex syscall) is what is now the more recent culprit.<br><div><div><div><div><br>Any suggestions on how to resolve this problem?<br><br clear="all"><div><div><div><div><div class="gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div>
</div></div></div></div></div></div></div></div>