У нас есть ОС CentOS, которая сегодня утром перестала реагировать на внешний сетевой трафик. Это виртуальная машина. Мне удалось перезагрузить виртуальную машину. После повторного входа в систему я обнаружил следующее в файле / var / log / messages, повторяющееся снова и снова, вплоть до момента перезагрузки:
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320
Я читал на другом форуме, что следующая команда может определить источник невыполненного трафика:
[root@PBX log]# aureport --start today --event --summary -i
Event Summary Report
======================
total type
======================
486 USER_ACCT
486 CRED_ACQ
486 USER_START
485 LOGIN
477 CRED_DISP
477 USER_END
6 USER_LOGIN
3 USER_AUTH
2 CONFIG_CHANGE
2 CRED_REFR
1 DAEMON_START
Может ли кто-нибудь посоветовать мне, какие следующие шаги мне следует предпринять, чтобы эта проблема не повторилась? Я не особо знаком с назначением невыполненной работы или тем, что означает вывод итогового отчета о событии.
Вы можете увеличить отставание, изменив -b 320 в /etc/audit/audit.rules к чему-то большему и посмотрите, имеет ли это какой-либо эффект, но эти суммы вы показываете нам по-прежнему очень мало результатов аудита, поэтому я сомневаюсь, что ошибка аудита имеет какое-либо отношение к зависанию системы сама по себе. Вероятно, это просто симптом чего-то другого.
Проверьте /var/log/audit/audit.log чтобы увидеть, какие события были зарегистрированы, чтобы увидеть, могут ли они быть полезны для вашей отладки.
Есть несколько решений:
/etc/audit/audit.rules добавив или отредактировав «-b 320» в «-b 8192»./etc/audit/auditd.conf.Чтобы узнать, какая проблема вызывает эту проблему, запустите aureport --start today или aureport --start today --event --summary -i