서버 잠금, / var / log / messages에서 "백 로그 한도 초과"보고

오늘 아침 외부 네트워크 트래픽에 응답하지 않는 CentOS OS가 있습니다. 가상 머신입니다. VM을 재부팅 할 수있었습니다. 다시 로그인 한 후 / var / log / messages 파일에서 다음을 발견하여 다시 부팅 할 때까지 반복해서 반복했습니다.

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

다른 포럼에서 다음 명령으로 백 로그 트래픽의 소스를 식별 할 수 있다고 읽었습니다.

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

이 문제가 다시 발생하지 않도록 다음 단계에 대해 조언 해 줄 사람이 있습니까? 나는 백 로그의 목적이나 이벤트 요약 보고서의 결과가 무엇을 의미하는지 잘 모르고 있습니다.

당신은 수정하여 백 로그를 증가시킬 수 -b 320에 /etc/audit/audit.rules더 큰 뭔가를하고 어떤 효과가 있는지,하지만이 내가 감사 오류가 자체 냉동 시스템과는 많은 것을 가지고 의심 있도록, 여전히 소수의 감사 결과를 우리에게 보여 달한다. 아마도 다른 일의 증상 일뿐입니다.

확인 /var/log/audit/audit.log이벤트가 디버깅에 대한 사용이 될 수 있는지 확인하기 위해 기록 된 것을 볼 수 있습니다.

여러 가지 해결책이 있습니다.

1. 백 로그를 늘리려면 /etc/audit/audit.rules"-b 320"을 "-b 8192"에 추가하거나 편집 하여 추가하거나 편집하십시오.
2. 의 priority_boost를 3에서 4 또는 5로 편집하여 우선 순위를 변경하십시오 /etc/audit/auditd.conf.

에 대해 알고이 문제를 실행 원인 어떤 문제 aureport --start today 또는 aureport --start today --event --summary -i