YWC*_*llo 10 linux audit centos windows-event-log
我们有一个 CentOS 操作系统,今天早上它对外部网络流量没有响应。它是一个虚拟机。我能够重新启动虚拟机。重新登录后,我在 /var/log/messages 文件中发现以下内容,一遍又一遍地重复,直到重新启动:
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320
我在另一个论坛上读到以下命令可以识别积压流量的来源:
[root@PBX log]# aureport --start today --event --summary -i
Event Summary Report
======================
total type
======================
486 USER_ACCT
486 CRED_ACQ
486 USER_START
485 LOGIN
477 CRED_DISP
477 USER_END
6 USER_LOGIN
3 USER_AUTH
2 CONFIG_CHANGE
2 CRED_REFR
1 DAEMON_START
任何人都可以建议我下一步应该采取哪些措施来防止此问题再次发生?我不是特别熟悉积压的目的或事件摘要报告的输出意味着什么。
您可以通过修改增加积压-b 320在/etc/audit/audit.rules更大的东西,看看它是否有任何影响,但这些金额你告诉我们,还是极少数审计结果,所以我怀疑审计错误有什么很多工作要做,系统本身冻结。它可能只是其他事情发生的征兆。
检查/var/log/audit/audit.log以查看已记录的事件以查看它们是否对您的调试有用。