小编点评

**问题原因：** * audit服务记录的审计事件超出默认(或设置)数量，达到或超出容量的审计缓冲区队列。 * 由于尝试“ctrl+z”中断报错未果，只能强行关机，重新开机才能正常系统。 **解决方案：** 1. **增加审计缓冲区空间（audit buffer）** * 使用 `auditctl -b 8192` 等命令设置 `audit_buffer` 参数的大小，其中 8192 代表 87 MiB。 * 例如：`sudo auditctl -b 8192` 2. **禁用 aduit审核** * 编辑 `/etc/audit/audit.rules` 文件，并将 `audit` 规则的 `enabled` 属性设置为 `no`。 * 例如： ``` auditd -E -n -f /etc/audit/audit.rules ``` **注意：** * 启用 `audit` 服务后，请确保系统性能可接受。 * 适当设置 `audit_buffer` 参数值，以避免系统资源不足。 * 禁用 `audit` 后，请确保所有安全软件已正确安装和配置。

正文

Linux报错：audit: backlog limit exceeded（审计：超出积压限制）

系统版本：CentOS Linux release 7.6.1810 (Core)

问题现象：一次巡检中发现业务系统打不开，对应的Linux服务器ssh连接不上，但是能ping通，于是在VMware vcenter 远程控制台打开操作系统界面，报错提示 audit: backlog limit exceeded，尝试“ctrl+z”中断报错未果，只能强行关机，重新开机能正常系统。

问题原因：audit服务记录的审计事件超出默认(或设置)数量 ，达到或超出容量的审计缓冲区队列也可能导致实例锁定或持续无响应状态。

解决办法：由于尝试“ctrl+z”中断报错未果，只能强行关机，重新开机才能正常系统，究其原因不采取措施，审计事件再次溢出依旧会出现该问题。

方法一：增加审计缓冲区空间（audit buffer）

注意：增加审计缓冲区会消耗系统的更多内存。设置 backlog_limit 参数的大小取决于系统的总内存。如果系统有足够的内存，则可以尝试将现有的 backlog_limit 参数值加倍。

审计积压所需内存的计算公式。使用此计算公式来确定在不对系统造成内存压力的情况下可以设置多大的积压队列。
一个审计缓冲区 = 8970 字节
审计缓冲区的默认数量（backlog_limit 参数）= 320
320 * 8970 = 2870400 字节（2.7MiB）

在本示例中，我将 backlog_limit 参数值更改为 10000 个缓冲区。根据上述计算公式，10000 个缓冲区等于87MiB 内存。您可以根据内存计算公式使用任何值。

1、查看当前默认配置：auditctl -s

2、在内核中设置最大现有审计缓冲量：auditctl -b 8192

永久设置，修改规则配置文件：vi /etc/audit/audit.rules

参数说明：
-D              删除所有规则
-b              设置audit缓冲大小，若缓冲占满了，则kernel会发出一个失败标记
-f 0|1|2        设置audit获取错误的等级。有0/1/2三个值。0是不输出日志；1为输出printk日志；2为最高级、会输出大量日志信息
-e 0|1          启用/禁用audit审核

3、重新启动 auditd 服务。

service auditd stop
service auditd start
service auditd restart

方法二：禁用aduit审核，不进行审计事件记录（不建议）

参考链接：7.5. 定义审计规则 Red Hat Enterprise Linux 7 | Red Hat Customer Portal

 

知识拓展：Linux系统审核

使用案例