サーバーがロックアップし、/ var / log / messagesが「バックログ制限を超えました」と報告する
今朝、外部ネットワークトラフィックに応答しなくなったCentOS OSがあります。これは仮想マシンです。 VMを再起動できました。再度ログインすると、/ var/log/messagesファイルに次の項目が見つかり、再起動の時点まで何度も繰り返しました。
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320
別のフォーラムで、次のコマンドでバックログトラフィックのソースを特定できることを確認しました。
[root@PBX log]# aureport --start today --event --summary -i
Event Summary Report
======================
total type
======================
486 USER_ACCT
486 CRED_ACQ
486 USER_START
485 LOGIN
477 CRED_DISP
477 USER_END
6 USER_LOGIN
3 USER_AUTH
2 CONFIG_CHANGE
2 CRED_REFR
1 DAEMON_START
この問題が再発しないようにするには、次の手順について誰かに助言できますか?バックログの目的や、イベントサマリーレポートの出力が何を意味するのか、私は特に詳しくありません。
-b 320の/etc/audit/audit.rulesをより大きな値に変更してバックログを増やし、効果があるかどうかを確認することができますが、これらの量は、監査結果がまだ非常に少ないことを示しているため、監査エラーには多くのものがあると思いますシステム自体がフリーズすることに関係しています。それはおそらく、何か他のことが起こっていることの兆候にすぎません。
/var/log/audit/audit.logをチェックして、ログに記録されているイベントを確認し、デバッグに役立つかどうかを確認します。
複数の解決策があります:
- バックログを長くするには、「-b 320」を「-b 8192」に追加または編集して、
/etc/audit/audit.rulesを追加または編集します。 /etc/audit/auditd.confのpriority_boostを3から4または5に編集して、優先度を変更します。
この問題の原因となっている問題を見つけるには、aureport --start todayまたはaureport --start today --event --summary -iを実行します