我们有一个 CentOS 操作系统,今天早上它对外部网络流量没有响应。它是一台虚拟机。我能够重新启动虚拟机。重新登录后,我在 /var/log/messages 文件中发现以下内容,一遍又一遍地重复,直到重新启动:
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320
我在另一个论坛上看到以下命令可以识别积压流量的来源:
[root@PBX log]# aureport --start today --event --summary -i
Event Summary Report
======================
total type
======================
486 USER_ACCT
486 CRED_ACQ
486 USER_START
485 LOGIN
477 CRED_DISP
477 USER_END
6 USER_LOGIN
3 USER_AUTH
2 CONFIG_CHANGE
2 CRED_REFR
1 DAEMON_START
有人能建议我下一步该采取什么措施来防止这个问题再次发生吗?我不太了解积压的目的,也不太了解事件摘要报告的输出意味着什么。
答案1
-b 320您可以通过修改为更大的值来增加积压量/etc/audit/audit.rules,看看是否有任何效果,但您向我们展示的这些金额仍然很少,所以我怀疑审计错误与系统本身冻结没有太大关系。它可能只是发生了其他事情的征兆。
检查/var/log/audit/audit.log已记录的事件以查看它们是否对您的调试有用。
答案2
有多种解决方案:
- 要延长积压时间,请
/etc/audit/audit.rules通过添加或编辑“-b 320”至“-b 8192”来进行添加或编辑。 - 通过编辑 priority_boost 从 3 到 4 或 5 来更改优先级
/etc/audit/auditd.conf。
要找出导致此问题的原因,请运行
aureport --start today
或
aureport --start today --event --summary -i