今天发现机器无法连接,并且通过VNC发现以下提示:
audit:backlog limit exceeded audit:audit_backlog=321 > audit_backlog_limit=320
导致VNC卡住并且无法操作,只好重启服务器,几分钟后,貌似一切正常。
问题:
audit服务在繁忙的系统中进行审计事件操作,导致缓冲瓶颈!
解决办法:
修改audit缓冲区大小参数,默认为64,修改为8192 auditctl -b 8192
会出现以下提示:
enabled 1 failure 1 pid 614 rate_limit 0 backlog_limit 8192 lost 0 backlog 1
设置后即时生效,重启系统后audit -b的值还原默认值
建议加入/ete/rc.local开机自启:
echo "auditctl -b 8192" >>/etc/rc.local chmod +x /etc/rc.local
扩展:
Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问,这种功能称为Linux审计系统。
配置文件/etc/audit/auditd.conf 记录了日志位置、磁盘空间等配置信息,当出现问题,优先排查配置参数是否存在性能瓶颈!然后在通过排查安全情况。