10 votos

El servidor se bloquea, /var/log/messages informa de que "se ha superado el límite de registros"

Tenemos un sistema operativo CentOS que ha dejado de responder esta mañana al tráfico de red externo. Es una máquina virtual. Pude reiniciar la máquina virtual. Después de iniciar la sesión de nuevo, encontré lo siguiente en el archivo /var/log/messages, repitiéndose una y otra vez, hasta el momento del reinicio:

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

He leído en otro foro que el siguiente comando podría identificar el origen del tráfico atrasado:

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

¿Puede alguien aconsejarme qué pasos debo dar para evitar que este problema se repita? No estoy particularmente familiarizado con el propósito del backlog o lo que significa la salida del informe de resumen de eventos.

5voto

Mattias Ahnberg Puntos 2484

Se puede aumentar el retraso modificando -b 320 en /etc/audit/audit.rules a algo más grande y ver si tiene algún efecto, pero estas cantidades que nos muestras siguen siendo muy pocos resultados de auditoría, así que dudo que el error de auditoría tenga mucho que ver con la congelación del sistema en sí mismo. Probablemente sea un síntoma de que está ocurriendo algo más.

Consulte /var/log/audit/audit.log para ver qué eventos se han registrado para ver si pueden ser de alguna utilidad para su depuración.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: