서버 잠금, / var / log / messages에서 "백 로그 한도 초과"보고


9

오늘 아침 외부 네트워크 트래픽에 응답하지 않는 CentOS OS가 있습니다. 가상 머신입니다. VM을 재부팅 할 수있었습니다. 다시 로그인 한 후 / var / log / messages 파일에서 다음을 발견하여 다시 부팅 할 때까지 반복해서 반복했습니다.

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

다른 포럼에서 다음 명령으로 백 로그 트래픽의 소스를 식별 할 수 있다고 읽었습니다.

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

이 문제가 다시 발생하지 않도록 다음 단계에 대해 조언 해 줄 사람이 있습니까? 나는 백 로그의 목적이나 이벤트 요약 보고서의 결과가 무엇을 의미하는지 잘 모르고 있습니다.


스토리지 문제를 배제 할 수 있습니까? 스토리지에 액세스 할 수없는 경우에는 로그가 기록되지 않지만 커널은 최소한 한동안 실행 상태를 유지합니다.
the-wabbit

스토리지는 로컬이며 문제의 징후가 없습니다. 유용한 정보가 기록되지 않을 가능성이 높습니다.
YWCA Hello

답변:


5

당신은 수정하여 백 로그를 증가시킬 수 -b 320/etc/audit/audit.rules더 큰 뭔가를하고 어떤 효과가 있는지,하지만이 내가 감사 오류가 자체 냉동 시스템과는 많은 것을 가지고 의심 있도록, 여전히 소수의 감사 결과를 우리에게 보여 달한다. 아마도 다른 일의 증상 일뿐입니다.

확인 /var/log/audit/audit.log이벤트가 디버깅에 대한 사용이 될 수 있는지 확인하기 위해 기록 된 것을 볼 수 있습니다.


audit.log우리가 문제를 발견하기 전에 약 2 시간 동안 본질적으로 조용했습니다 (이것은 이른 아침에 일어났습니다). 그런 다음 재부팅으로 메시지가 다시 시작되었습니다. 나는 이것이 로그에서 실제 답변을 찾을 수없는 또 다른 리눅스 동결 시나리오가 아니기를 바라고 있습니다 : /
YWCA Hello

RHEL7 기반 시스템에서는 감사가 다시 시작될 때 /etc/audit/audit.rules가 다시 작성되므로 /etc/audit/rules.d/audit.rules 파일을 변경해야합니다.
Bruno Mairlot

2

여러 가지 해결책이 있습니다.

  1. 백 로그를 늘리려면 /etc/audit/audit.rules"-b 320"을 "-b 8192"에 추가하거나 편집 하여 추가하거나 편집하십시오.
  2. 의 priority_boost를 3에서 4 또는 5로 편집하여 우선 순위를 변경하십시오 /etc/audit/auditd.conf.

에 대해 알고이 문제를 실행 원인 어떤 문제 aureport --start today 또는 aureport --start today --event --summary -i

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.