Eu normalmente classifico por memória ("M" na parte superior) para solucionar esses tipos de coisas - isso mostra a quantidade de memória real que cada processo está usando (e tocando com freqüência suficiente para mantê-lo fora do mínimo recentemente usado fila para ser trocado).
VIRT = RES + SWAP
Outra coisa a verificar é se o / tmp é um sistema de arquivos tmpfs e se algo está gravando muitos dados lá.
Na verdade, estou um pouco confuso com o que estou vendo. Esta sar
é excedida durante o intervalo em que ocorreu a interrupção ou apenas a saída padrão? E a saída top
é de um tempo totalmente diferente, 14:32?
Além disso, ele não está realmente usando swap no momento em que você pegou essas estatísticas porque não precisa - quase 3G de sua memória está sendo usada como cache de disco ("kbcached") e você só tem kbmemused - kbcached + kbbuffers = 664072KiB (648MiB) [às 04:40:01] em uso pelos processos reais.
Como nenhuma imagem de processo está usando muita memória, mas o oom-killer foi iniciado, imagino que algo começou a executar muitas E / S de arquivos e comecei a sujar as páginas mais rápido do que poderia ser gravado no disco. Eu não estou realmente certo de que deve acionar o assassino oom embora.
Nenhuma dessas páginas sujas iria trocar, porque é tão fácil escrever o conteúdo do próprio arquivo quanto escrever os dados para trocar.
O palpite óbvio é que o mysqld estava fazendo isso, embora eu suspeitasse que ele abrisse seus arquivos com O_DIRECT, o que sugere ao kernel minimizar os efeitos no cache (com a premissa de que o servidor DB está fazendo seu próprio cache ).
Atualizar
Com base na sua saída free
da atualização # 2, a resposta para a pergunta em seu tópico é que ela está usando swap muito bem; algo apenas usou tudo isso. Os outros dados que você forneceu são normais para um sistema que inicializou recentemente.
Atualização 2
Eu mencionei o mysql abaixo, mas eu ficaria surpreso se esse é o culpado, honestamente. Eu suspeito spamd, os processos CPanel ou aplicativos da web em execução dentro do Apache primeiro.
Eu também estou assumindo que você está executando uma distro razoavelmente atual sem nenhum ajuste dos ajustes do sistema e que você está atualizado sobre os patches de segurança. Houve uma exploração do BIND nos últimos meses que resultou em um DoS, mas não consigo me lembrar se o exploit causou exaustão de memória ou algo mais. Também li recentemente sobre as explorações do CPanel, mas não sei como elas eram atuais.