Encuentro que cuando el subsistema de auditoría alcanza el límite de acumulación (establecido a través de auditctl -b 1023 ) por primera vez, el syscall actual se quedará allí durante aproximadamente 1 minuto. Después de 1 minuto, el contador de pérdidas se incrementará y el syscall volverá. Después de la primera vez, si se alcanza nuevamente el límite de acumulación, el syscall volverá y el contador perdido aumentará de inmediato.
¿Por qué se cuelga el syscall durante 1 minuto la primera vez? Este comportamiento haría que el sistema fuera totalmente inutilizable durante 1 minuto. ¿Cómo evito esto?