¿Qué debo hacer si los logs excesivos de auditoría de Docker afectan a la E/S del disco?
Síntoma
Hay un gran número de logs de auditoría de Docker en los nodos existentes de algunos clústeres. Debido a defectos del kernel del sistema operativo, es ligeramente posible que las E/S estén suspendidas. Puede optimizar las reglas del log de auditoría para evitar este problema.
Impacto
Versiones de clúster afectadas:
- v1.15.11-r1
- v.1.17.9-r0
- Solo tiene que solucionar este problema para los nodos existentes, no para los nodos recién creados.
- El componente auditado debe reiniciarse durante la actualización.
Método de comprobación
- Inicie sesión en el nodo de trabajo como usuario root.
- Ejecute el siguiente comando para comprobar si el problema existe en el nodo actual:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
Si se muestra la información similar a la siguiente, el problema existe y debe corregirse. Si no se muestra ningún resultado de comando, el nodo no se ve afectado.
Solución
- Inicie sesión en el nodo de trabajo como usuario root.
- Ejecute los siguientes comandos:
sed -i "/\/var\/lib\/docker -k docker/d" /etc/audit/rules.d/docker.rules
service auditd restart
Método de verificación
Ejecute el siguiente comando para comprobar si el error está rectificado:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
Si no se muestra ningún resultado del comando, el problema se ha resuelto.