对暂存文件上的审计记录大小的限制
暂存文件上的审核记录大小不能超过 32 KB 。
当可能发生大型审计记录时
在以下情形之一的管理审核过程中可能会出现大量审核记录:
在具有大量用户的组中添加或删除用户。
在与大量文件共享用户共享的文件共享上添加或删除文件共享访问控制列表( ACL )。
其他方案。
禁用管理审核以避免此问题。为此,请修改审计配置并从审计事件类型列表中删除以下内容:
file-share
user-account
security-group
authorization-policy-change
删除后、文件服务审计子系统不会对其进行审核。
审计记录的影响太大
如果审核记录的大小过大(超过 32 KB )、则不会创建审核记录、并且审核子系统会生成类似于以下内容的事件管理系统 (EMS) 消息: “
文件服务审计子系统失败操作或截断了审计记录,因为该记录大于 MAX_audit_record 大小值。 虚拟服务器 UUID = %s 、 Event_ID = %u 、大小 = %u
”
如果审核得到保证、文件操作将失败、因为无法创建其审核记录。
如果审核记录的大小超过 9,999 字节,则会显示与上述相同的 EMS 消息。创建部分审核记录时缺少较大的密钥值。
如果审核记录超过 2,000 个字符、则会显示以下错误消息而不是实际值: “
此字段的值太长而无法显示。
”
上级主题:
审核SVM