error: audit:backlog limit exceeded报错，audit缓冲大小瓶颈

标签：audit   auditctl   backlog缓冲大小限制   linux   

audit:backlog limit exceeded

解决方法：

audit 服务对所有的系统调用进行审计操作，

在配置文件中，排除audit.conf文件中，日志、磁盘空间等配置参数的性能瓶颈！

最终问题锁定在，audit服务在繁忙的系统中进行审计事件操作，缓冲瓶颈！

增加audit.rules 的-b 选项，8192kb,(此值，要根据系统buffer值，适当分配---考虑到其它应用对全系统buffer的使用)。

cat /etc/audit/audit.rules

修改audit参数，如下：

[root@ localhost]# auditctl -b 8192

AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1 

即时生效，重启系统后audit -b的值还原默认值

可以将auditctl -b 8192写入/etc/rc.local

vim /etc/rc.local

auditctl -b 8192

error: audit:backlog limit exceeded报错，audit缓冲大小瓶颈

标签：audit   auditctl   backlog缓冲大小限制   linux   

原文地址：http://jasonzhu.blog.51cto.com/5594807/1769025