服务器锁定,/ var / log / messages报告“超出了积压限制”

9

我们有一个CentOS操作系统,今天早上对外部网络流量变得无响应。它是一个虚拟机。我能够重启虚拟机。重新登录后,我在/ var / log / messages文件中发现以下内容,一遍又一遍,直到重新启动为止:

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

我在另一个论坛上读到以下命令可以标识积压流量的来源:

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

谁能建议我应采取哪些下一步措施来防止此问题再次发生?我对积压的目的或事件摘要报告的输出并不特别熟悉。

linux  centos  windows-event-log  audit 
基督教女青年会你好
source
您可以排除存储问题吗?如果无法访问存储,则不写入日志,但是内核保持运行状态-至少持续一段时间。
the-wabbit 2012年
存储是本地的,没有任何麻烦的迹象。我认为很有可能没有记录有用的信息。
YWCA你好2012年

Answers:

5

您可以通过修改增加积压-b 320/etc/audit/audit.rules更大的东西,看看它是否有任何影响,但这些金额你告诉我们,还是极少数审计结果,所以我怀疑审计错误有什么很多工作要做,系统本身冻结。它可能只是发生了其他事情的征兆。

检查/var/log/audit/audit.log以查看记录了哪些事件,以查看它们是否对调试有用。

马蒂亚斯·安伯格
source
audit.log基本上在我们注意到问题之前2个小时就安静了下来(这发生在清晨)。然后,随着重新启动,消息再次启动。我希望这不是另一个从日志中找不到真正答案的Linux冻结方案:/
YWCA您好
请注意,在基于RHEL7的系统上,您需要更改文件/etc/audit/rules.d/audit.rules,因为/etc/audit/audit.rules将在auditd重新启动时被重写。
Bruno Mairlot
2

有多种解决方案:

  1. 要延长积压工作,请/etc/audit/audit.rules通过在“ -b 8192”中添加或编辑“ -b 320”来进行添加或编辑。
  2. 通过在中将priority_boost从3更改为4或5来更改优先级/etc/audit/auditd.conf

要找出导致此问题的原因,请运行 aureport --start todayaureport --start today --event --summary -i

埃斯梅尔·米尔扎
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.