我们有一个CentOS操作系统,今天上午变得没有响应外部networkingstream量。 这是一个虚拟机。 我能够重新启动虚拟机。 重新login后,我在/ var / log / messages文件中发现了以下内容,一遍又一遍地重复:
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed. Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320 我在另一个论坛上看到,以下命令可以识别积压stream量的来源:
[root@PBX log]# aureport --start today --event --summary -i Event Summary Report ====================== total type ====================== 486 USER_ACCT 486 CRED_ACQ 486 USER_START 485 LOGIN 477 CRED_DISP 477 USER_END 6 USER_LOGIN 3 USER_AUTH 2 CONFIG_CHANGE 2 CRED_REFR 1 DAEMON_START
任何人都可以告诉我,我应该采取什么样的措施来防止这个问题再次发生? 我不太了解积压事件的目的或事件总结报告的结果。
您可以通过修改/etc/audit/audit.rules -b 320来增加积压,并查看它是否有任何作用,但是这些数量显示我们仍然很less有审计结果,所以我怀疑审计错误是否有任何与系统本身冻结很大程度上。 它可能只是其他事情发生的一个思想。
检查/var/log/audit/audit.log查看已logging的事件,看看它们是否可以用于debugging。
有多种解决scheme:
/etc/audit/audit.rules 。 /etc/audit/auditd.conf中将priority_boost从3更改为4或5来更改优先级。 要了解导致此问题的原因,请运行aureport --start today或aureport --start today --event --summary -i