今天在排查某台服務器問題的時候發現/var/log/message日志出現大量audit:backlog limit exceeded記錄,同時服務器控制台也打印出大量audit:backlog limit exceeded日志。
解決方法:
audit 服務對所有的系統調用進行審計操作,
在配置文件中,排除audit.conf文件中,日志、磁盤空間等配置參數的性能瓶頸!
最終問題鎖定在,audit服務在繁忙的系統中進行審計事件操作,緩沖瓶頸!
增加audit.rules 的-b 選項,8192kb,(此值,要根據系統buffer值,適當分配)。
cat /etc/audit/audit.rules
修改audit參數,如下:
[root@ localhost]# auditctl -b 8192 AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1
可通過auditctl -b 8192設定緩沖區大小(臨時生效);永久生效——vim /etc/audit/audit.rules,將320改為8192。