AuditD 是一个 Linux 上的系统审计工具，可用于监视系统中发生的事件和活动。但是，当事件频率变高时，AuditD 可能会导致性能问题和资源占用，包括 CPU 和内存。

以下是一些解决 AuditD 性能问题的方法：

1. 调整日志的优先级

将日志的优先级设置为较低级别，可以减轻 AuditD 的资源占用。可以通过编辑 /etc/audit/auditd.conf 配置文件来实现。例如：

将日志优先级设置为 INFO

log_priority = INFO

2. 停止不必要的监视

不需要的监视可以通过删除或注释掉 /etc/audit/rules.d/ 目录下的不必要规则来停止。同时，也可以通过配置文件来禁止某些监视。例如：

禁止监视文件操作

-a never,exit -F arch=b64 -S open

3. 调整缓冲区设置

可以修改 /etc/audit/auditd.conf 配置文件中与缓冲区相关的设置来调整缓冲区大小和刷新频率。例如：

增加缓冲区大小

max_log_file = 10 max_log_file_action = rotate

4. 使用 Relay 插件

Relay 插件可以将 AuditD 生成的事件转发到远程服务器，从而减轻本地系统的资源占用。可以通过编辑 /etc/audit/plugins.d/relay.conf 配置文件来实现。例如：

设置 Relay 服务器地址和端口号

remote_server = 192.168.1.100 remote_port = 12345