Auditbeat 因打开文件过多而无法监视文件夹
编辑Auditbeat 因打开文件过多而无法监视文件夹
编辑由于 macOS 上文件监视的实现方式,您可能会看到类似以下内容的警告
eventreader_fsnotify.go:42: WARN [audit.file] Failed to watch /usr/bin: too many open files (check the max number of open files allowed with 'ulimit -a')
要解决此问题,请使用设置为较大值的 ulimit 运行 Auditbeat,例如
sudo sh -c 'ulimit -n 8192 && ./Auditbeat -e
或者
sudo su ulimit -n 8192 ./auditbeat -e