web-dev-qa-db-ja.com

サーバーがロックアップし、/ var / log / messagesが「バックログ制限を超えました」と報告する

今朝、外部ネットワークトラフィックに応答しなくなったCentOS OSがあります。これは仮想マシンです。 VMを再起動できました。再度ログインすると、/ var/log/messagesファイルに次の項目が見つかり、再起動の時点まで何度も繰り返しました。

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

別のフォーラムで、次のコマンドでバックログトラフィックのソースを特定できることを確認しました。

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

この問題が再発しないようにするには、次の手順について誰かに助言できますか?バックログの目的や、イベントサマリーレポートの出力が何を意味するのか、私は特に詳しくありません。

9
YWCA Hello

-b 320/etc/audit/audit.rulesをより大きな値に変更してバックログを増やし、効果があるかどうかを確認することができますが、これらの量は、監査結果がまだ非常に少ないことを示しているため、監査エラーには多くのものがあると思いますシステム自体がフリーズすることに関係しています。それはおそらく、何か他のことが起こっていることの兆候にすぎません。

/var/log/audit/audit.logをチェックして、ログに記録されているイベントを確認し、デバッグに役立つかどうかを確認します。

5
Mattias Ahnberg

複数の解決策があります:

  1. バックログを長くするには、「-b 320」を「-b 8192」に追加または編集して、/etc/audit/audit.rulesを追加または編集します。
  2. /etc/audit/auditd.confのpriority_boostを3から4または5に編集して、優先度を変更します。

この問題の原因となっている問題を見つけるには、aureport --start todayまたはaureport --start today --event --summary -iを実行します

2
Esmaeil MIRZAEE