【linux命令】error: audit:backlog limit exceeded
内容摘要
这种情况系统已经崩溃,先重启。注意重启后还可能会遇到只读的情况,首先了解下只读的原因。要求输入root密码继续那个界面有详细提示只读的原因。有可能是开启了selinux或者是
文章正文
这种情况系统已经崩溃,先重启。注意重启后还可能会遇到只读的情况,首先了解下只读的原因。要求输入root密码继续那个界面有详细提示只读的原因。有可能是开启了selinux或者是磁盘有坏道等原因导致,可以单用户进服务器后vi /etc/sysconfig/selinux 设置成disabled后重启服务器观察。同时建议重启后进行fsck修复。
解决方法:
audit 服务对所有的系统调用进行审计操作,
在配置文件中,排除audit.conf文件中,日志、磁盘空间等配置参数的性能瓶颈!
最终问题锁定在,audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈!
增加audit.rules 的-b 选项,8192kb,(此值,要根据系统buffer值,适当分配—考虑到其它应用对全系统buffer的使用)。
cat /etc/audit/audit.rules
修改audit参数,如下:
[[email protected] localhost]# auditctl -b 8192AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1
代码注释
[!--zhushi--]
