Linux登录时显示audit:backlog limit exceeded的解决方法

今天发现机器无法连接，并且通过VNC发现以下提示：

audit:backlog limit exceeded
audit:audit_backlog=321 > audit_backlog_limit=320

导致VNC卡住并且无法操作，只好重启服务器，几分钟后，貌似一切正常。

问题：

audit服务在繁忙的系统中进行审计事件操作，导致缓冲瓶颈！

解决办法：

修改audit缓冲区大小参数，默认为64，修改为8192
auditctl -b 8192

会出现以下提示：

enabled 1
failure 1
pid 614
rate_limit 0
backlog_limit 8192
lost 0
backlog 1

设置后即时生效，重启系统后audit -b的值还原默认值

建议加入/ete/rc.local开机自启：

echo "auditctl -b 8192" >>/etc/rc.local
chmod +x /etc/rc.local

扩展：

Linux内核有用日志记录事件的能力，比如记录系统调用和文件访问。然后，管理员可以评审这些日志，确定可能存在的安全裂口，比如失败的登录尝试，或者 用户对系统文件不成功的访问,这种功能称为Linux审计系统。

配置文件/etc/audit/auditd.conf 记录了日志位置、磁盘空间等配置信息，当出现问题，优先排查配置参数是否存在性能瓶颈！然后在通过排查安全情况。