Servidor bloqueando, / var / log / messages relata “limite de backlog excedido”

Question

Servidor bloqueando, / var / log / messages relata “limite de backlog excedido”

#1 resposta do (4 votos)
#2 resposta do (2 votos)

7

Temos um sistema operacional CentOS que deixou de responder esta manhã ao tráfego de rede externo. É uma máquina virtual. Consegui reiniciar a VM. Após o login novamente, encontrei o seguinte no arquivo / var / log / messages, repetindo várias vezes, até o ponto de reinicialização:

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

Eu li em outro fórum que o seguinte comando pode identificar a origem do tráfego do backlog:

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

Alguém pode me aconselhar sobre quais próximos passos devo tomar para evitar que esse problema aconteça novamente? Não estou particularmente familiarizado com o propósito do backlog ou com o que significa a saída do relatório de resumo do evento.

linux centos audit windows-event-log

por YWCA Hello 21.01.2012 / 19:43

2 respostas

Tags linux centos audit windows-event-log

Junte-se a grandes arquivos sobrepostos zfs renomeia / move o sistema de arquivos raiz para filho

score 4 · Answer 1

Você pode aumentar o backlog modificando -b 320 em /etc/audit/audit.rules para algo maior e ver se ele tem algum efeito, mas esses valores ainda nos mostram muito poucos resultados de auditoria, por isso duvido que o erro de auditoria tenha muito fazer com o sistema congelando em si mesmo. É provavelmente apenas um sintoma de algo acontecendo.

Verifique /var/log/audit/audit.log para ver quais eventos foram registrados para ver se eles podem ser de alguma utilidade para sua depuração.

score 2 · Answer 2

Existe uma solução múltipla:

Para aumentar o backlog, adicione ou edite /etc/audit/audit.rules adicionando ou editando "-b 320" para "-b 8192".
altere a prioridade editando priority_boost de 3 a 4 ou 5 em /etc/audit/auditd.conf .

Para descobrir qual problema causa esse problema, execute %código% ou aureport --start today