Auditbeat 由于打开的文件过多而无法监控文件夹
编辑Auditbeat 由于打开的文件过多而无法监控文件夹
编辑由于 macOS 上文件监控的实现方式,您可能会看到类似以下的警告
eventreader_fsnotify.go:42: WARN [audit.file] Failed to watch /usr/bin: too many open files (check the max number of open files allowed with 'ulimit -a')
要解决此问题,请使用设置了更大值的 ulimit 来运行 Auditbeat,例如:
sudo sh -c 'ulimit -n 8192 && ./Auditbeat -e
或者
sudo su ulimit -n 8192 ./auditbeat -e