13 votes

YWCA Hello avatar

Le serveur se bloque, /var/log/messages rapporte "limite de backlog dépassée".

Demandé el 21 de Janvier, 2012
Quand la question a-t-elle été
60453 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un système d'exploitation CentOS qui a cessé de répondre ce matin au trafic réseau externe. Il s'agit d'une machine virtuelle. J'ai pu redémarrer la machine virtuelle. Après m'être reconnecté, j'ai trouvé ce qui suit dans le fichier /var/log/messages, qui se répète encore et encore, jusqu'au moment du redémarrage :

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

J'ai lu sur un autre forum que la commande suivante pouvait identifier la source du trafic en souffrance :

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

Quelqu'un peut-il me conseiller sur les prochaines étapes à suivre pour éviter que ce problème ne se reproduise ? Je ne suis pas particulièrement familier avec l'objectif de l'arriéré ou avec la signification de la sortie du rapport de synthèse des événements.

Demandé el 21 de Janvier, 2012 par YWCA Hello

Réponses

Trop de publicités?

5voto

Mattias Ahnberg avatar
Mattias Ahnberg Points 3949

Vous pouvez augmenter le backlog en modifiant -b 320 en /etc/audit/audit.rules à quelque chose de plus grand et voir si cela a un effet, mais ces montants que vous nous montrez nous donnent encore très peu de résultats d'audit, donc je doute que l'erreur d'audit ait quelque chose à voir avec le gel du système en lui-même. C'est probablement juste un symptôme de quelque chose d'autre qui se passe.

Vérifiez /var/log/audit/audit.log pour voir quels événements ont été enregistrés et voir s'ils peuvent être utiles à votre débogage.

Répondu el 21 de Janvier, 2012 par Mattias Ahnberg (3949 Points )

4voto

Esmaeil MIRZAEE avatar
Esmaeil MIRZAEE Points 141

Il existe plusieurs solutions :

  1. Pour allonger le carnet de commandes, ajouter ou modifier /etc/audit/audit.rules en ajoutant ou modifiant "-b 320" à "-b 8192".
  2. changer la priorité en modifiant priority_boost de 3 à 4 ou 5 dans /etc/audit/auditd.conf .

Pour trouver la cause de ce problème, exécutez aureport --start today ou aureport --start today --event --summary -i

Répondu el 20 de Septembre, 2016 par Esmaeil MIRZAEE (141 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X