Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленными обновлениями БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) и/или БЮЛЛЕТЕНЬ № 2023-0630SE17MD (срочное оперативное обновление 1.7.4.UU1).
Ограничение устранено в оперативном обновлении 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17).
Описание проблемы
В соответствии с правилами PARSEC-аудита, установленными по умолчанию в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленными обновлениями БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) и/или БЮЛЛЕТЕНЬ № 2023-0630SE17MD (срочное оперативное обновление 1.7.4.UU1), служба регистрации событий auditd анализирует события с процессами и файлами, используя детализацию, превосходящую обязательные нормативные требования. Такой режим в случае многопоточных приложений (базы данных, системы видеонаблюдения) на высокопроизводительных многопроцессорных системах при количестве потоков и исполняющих их ядер от 12 и выше, может аномально увеличить нагрузку на каждое ядро CPU до 100%.
Устранение проблемы
Если нет возможности установить оперативное обновление 1.7.5 (БЮЛЛЕТЕНЬ № 2023-1023SE17), то для устранения проблемы необходимо скорректировать правила PARSEC-аудита. Правила, необходимые для работы PARSEC-аудита, заданы в файле /etc/audit/rules.d/10-parsec.rules. Для их корректировки следует выполнить действия, описанные ниже.
- Скачать скорректированный файл с правилами 10-parsec.rules.
- Загруженный файл поместить в каталог
/etc/audit/rules.d/(с заменой имеющегося там файла). Перезапустиь службу
auditdкомандой:sudo systemctl restart auditd