O que fazer se logs de auditoria excessivos do Docker afetarem a I/O do disco?
Sintoma
Há um grande número de logs de auditoria do Docker em nós existentes em alguns clusters. Devido a defeitos no kernel do sistema operacional, é um pouco possível que as I/Os sejam suspensas. Você pode otimizar as regras de log de auditoria para evitar esse problema.
Impacto
Versões de cluster afetadas:
- v1.15.11-r1
- v.1.17.9-r0
- Você só precisa corrigir esse problema para nós existentes, não para nós recém-criados.
- O componente auditado precisa ser reiniciado durante a atualização.
Método de descoberta
- Efetue logon no nó de trabalho como usuário root.
- Execute o seguinte comando para verificar se o problema existe no nó atual:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
Se informações semelhantes às seguintes forem exibidas, o problema existe e precisa ser corrigido. Se nenhuma saída de comando for exibida, o nó não será afetado.
Solução
- Efetue logon no nó de trabalho como usuário root.
- Execute os seguintes comandos:
sed -i "/\/var\/lib\/docker -k docker/d" /etc/audit/rules.d/docker.rules
service auditd restart
Método de verificação
Execute o seguinte comando para verificar se a falha foi corrigida:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
Se nenhuma saída de comando for exibida, o problema foi resolvido.