今天在排查某台服务器问题的时候发现/var/log/message日志出现大量audit:backlog limit exceeded记录,同时服务器控制台也打印出大量audit:backlog limit exceeded日志。
解决方法:
audit 服务对所有的系统调用进行审计操作,
在配置文件中,排除audit.conf文件中,日志、磁盘空间等配置参数的性能瓶颈!
最终问题锁定在,audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈!
增加audit.rules 的-b 选项,8192kb,(此值,要根据系统buffer值,适当分配)。
cat /etc/audit/audit.rules
修改audit参数,如下:
[root@ localhost]# auditctl -b 8192 AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1
可通过auditctl -b 8192设定缓冲区大小(临时生效);永久生效——vim /etc/audit/audit.rules,将320改为8192。