Аудит Backlog висит на сервере Linux?

Question

Я использую сервер Centos 7, на котором запущены многопоточные процессы в реальном времени.После 2 или 3 дней непрерывной работы сервер переходит в состояние остановки и не может получить к нему доступ. Однажды я, к счастью, вошел в систему и увидел ЦП

[564378.509785] audit_log_start: 14 callbacks suppressed    
[564678.515440] audit: audit_backlog=65 > audit_backlog_limit=64    
[564678.522037] audit: audit_lost=22 audit_rate_limit=0 audit_backlog_limit=64    
[564678.529822] audit: backlog limit exceeded

Возможно ли, что какой-то поток / процесс зависи из-за того, что audd не может регистрировать события?

Answer 1

Кажется, файловая система застряла в замороженном состоянии.Основная проблема может иметь разные корни.

Вы можете попытаться найти проблему, изучив дополнительные журналы, например, вы можете использовать

aureport --start today(any date you are interested in)

Дополнительно попробуйте настроить вашу конфигурацию

-b
sets the maximum amount of existing Audit buffers in the kernel, for example:

Возможно, вам понадобитсячтобы увеличить этот параметр конфигурации, отредактировав файл /etc/audit/audit.rules, например, изменив его на -b 8192.

Также это может помочь увеличить приоритет в файле /etc/audit/auditd.conf, изменив параметр priority_boost.