audit:backlog limit exceeded

解决方法:

audit 服务对所有的系统调用进行审计操作,

在配置文件中,排除audit.conf文件中,日志、磁盘空间等配置参数的性能瓶颈!

最终问题锁定在,audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈!

增加audit.rules 的-b 选项,8192kb,(此值,要根据系统buffer值,适当分配---考虑到其它应用对全系统buffer的使用)。

cat /etc/audit/audit.rules

修改audit参数,如下:

[root@ localhost]# auditctl -b 8192

AUDIT_STATUS: enabled=1 

flag=1 pid=6118 

rate_limit=0 

backlog_limit=8192 

lost=0 backlog=1 

原文见:http://blog.sina.com.cn/s/blog_465bb1ce0102vm6f.html