› › ›

Auditbeat 无法监视文件夹，因为打开的文件过多

Auditbeat 无法监视文件夹，因为打开的文件过多编辑

由于 macOS 上文件监控的实现方式，您可能会看到类似于以下内容的警告

eventreader_fsnotify.go:42: WARN [audit.file] Failed to watch /usr/bin: too many
open files (check the max number of open files allowed with 'ulimit -a')

要解决此问题，请使用更大的 ulimit 值运行 Auditbeat，例如

sudo sh -c 'ulimit -n 8192 && ./Auditbeat -e

或者

sudo su
ulimit -n 8192
./auditbeat -e

« 常见问题 Auditbeat 使用过多带宽 »