在 /var/log/kernellog 中我们可以看到许多用于审计的条目(因为我们有“space_left_action = SYSLOG”和“write_logs = no”):
...
audit: audit_backlog=32769 > audit_backlog_limit=32768
audit: audit_lost=1 audit_rate_limit=0 audit_backlog_limit=32768
audit: backlog limit exceeded
...
问题:如果服务器无法处理过多的审计信息,是否会崩溃/停止?FS 持有的 kernellog 有足够的可用空间。