Linux报错audit: backlog limit exceeded

最新推荐文章于 2025-04-16 16:55:22 发布
最新推荐文章于 2025-04-16 16:55:22 发布
阅读量1.3w 收藏 14
点赞数 1
分类专栏: Linux 常见问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunny05296/article/details/109748808
版权

Linux报错audit: backlog limit exceeded


现象:Linux ssh连接不上,能ping通,登录界面报错提示 audit: backlog limit exceeded

原因:该错误为 Linux Kernel logs,问题的原因是audit服务在繁忙的系统中进行审计事件操作,缓冲区存在瓶颈,导致系统接近崩溃。

背景介绍:

audit是linux系统中用于记录用户底层调用情况的服务,用来记录用户执行的open,exit等系统调用行为,并会将记录写到日志文件中。
audit可以通过使用 auditctl 命令来添加或删除audit规则,可以设置针对某个用户进行记录,或针对某个进程的进行记录。

主要命令:
auditctl audit 规则&系统管理工具,用来获取状态,增加删除监控规则
ausearch       查询audit log工具
aureport       输出audit系统报告


解决办法:可以尝试增大 audit buffer 来解决该问题。

Linux 默认内存分页大小为 4096 Bytes,通过下面命令可以获取分页大小:getconf PAGE_SIZE,可以设置为分页的N倍数

查看帮助信息
auditctl -h

查看当前默认配置
auditctl -s

backlog_limit 320 #我Centos7.1默认只为320

优化audit服务修改buffer大小
auditctl -b 8192
如果不设置系统默认为64Bytes

设置永久生效:
方法1)修改规则配置
vim /etc/audit/audit.rules
-D
-b 8192
-f 1

参数说明:
-D          删除所有规则
-b          设置audit缓冲大小,若缓冲占满了,则kernel会发出一个失败标记
-f [0|1|2]  设置audit获取错误的等级。有0/1/2三个值。0是不输出日志;1为输出printk日志;2为最高级、会输出大量日志信息
-e [0|1]    启用/禁用audit审核


方法2)
也可以直接在自启动中设置
chmod u+x /etc/rc.d/rc.local
vim /etc/rc.d/rc.local
auditctl -b 8192

在torch.hub加载bert-base-chinese模型的时候出错rate limit exceeded
sunshine77_的博客
08-17 5569
问题的产生代码 model = torch.hub.load('huggingface/pytorch-transformers', 'model', 'bert-base-chinese') 环境 pytorch 1.9.0 torchvision0.10.0 问题 urllib.error.HTTPError: HTTP Error 403: rate limit exceeded 解决办法: 以下方法是可以尝试的方法 1. 更改torch版本 更改torch版本从1.9.0+.
linux audit 源码分析,Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释...
weixin_39927623的博客
05-12 626
原标题:Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释2.4.1.6核心代码注释//创建一个审计缓冲区,存放类型为type的审计消息struct audit_buffer *audit_log_start(struct audit_context *ctx, gfp_t gfp_mask,int type){struct audit_buffer*ab= NUL...
Linux auditBacklog limit exceeded
discsthnew的博客
03-25 8468
Linux auditBacklog limit exceeded” If you’re running a busy Linux system, you may see the following error in your Kernel logs: audit: backlog limit exceeded For example: messages may write to ...
CentOS 7 生命周期失效问题解决,改用阿里源
m0_64565155的博客
03-25 957
出现问题的原因:CentOS 7 已结束生命周期(2024年6月30日)。配置阿里云镜像源。创建两个替代仓库解决 CentOS 7 生命周期结束后官方源不可用问题。
audit:backlog limit exceeded
weixin_34362991的博客
02-23 1263
今天发现存储服务器业务不可用,服务器能ping通,远程不了! 到机房管理员那里查看服务器状态后,发现显示如下: 显然系统已经崩溃,只能先重启服务器,先恢复业务,然后针对backlog limit exceeded的告警查找原因 通过百度查找audit服务是linux的一个审计服务,上述原因是audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈,导致系统崩溃 在优化audit服务...
Linux报错audit: backlog limit exceeded
至虛極,守靜篤
12-29 2151
今天,一台虚拟机上操作昨天打开的连接一直没响应,新打开连接连接不上。SSH校验不通过。通过IT的后台,可以看到满屏的audit服务记录的审计事件超出默认(或设置)数量 ,达到或超出容量的审计缓冲区队列也可能导致实例锁定或持续无响应状态。audit服务配置。
audit:backlog limit exceeded,无法ssh登陆
wantming的专栏
08-14 8522
现象 云主机突然CPU告警,发现无法ssh登陆,ip可以ping通,相关服务也正常 报错 console口有大量audit:backlog limit exceeded报错 解决 重启服务器后恢复。 查看系统日志,有大量audit: audit_backlog=2049 > audit_backlog_limit=2048报错 audit服务是linux的一个审计服务,上述原因是audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈,导致系统崩溃 查看本机audit.
linux查看数据积压,对 EC2 Linux 实例上的审计积压错误进行排查
weixin_39778668的博客
05-12 1067
为什么我在 EC2 Linux 实例的屏幕截图和系统日志中看到“审计:超出积压限制”错误,我该如何避免这种情况?上次更新时间:2020 年 9 月 18 日我在 Amazon Elastic Compute Cloud (Amazon EC2) Linux 实例的屏幕截图和系统日志中看到“已阻止审计回调”和“审计:超出积压限制”错误消息。为什么我会收到这些消息,以及如何防止它们再次发生?简短描述L...
Linux内核审计日志audit_log,linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1329
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
安卓APP访问CAN有如下报错05-16 18:09:54.015 8022 8022 D can_test: nCanFd = 67 05-16 18:09:54.015 8022 8022 D can_test: Send can_id 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:444): avc: denied { ioctl } for path="socket:[114169]" dev="sockfs" ino=114169 ioctlcmd=0x8933 scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.015 8022 8022 D can_test: Send Error frame[0] 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:445): avc: denied { bind } for scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:446): avc: denied { write } for path="socket:[114169]" dev="sockfs" ino=114169 scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.020 0 0 W audit : audit_lost=15 audit_rate_limit=5 audit_backlog_limit=64 05-16 18:09:54.020 0 0 E audit : rate limit exceeded 05-16 18:09:54.060 305 388 W APM::AudioPolicyEngine: getDevicesForStrategy() unknown strategy: -1 05-16 18:09:54.060 459 477 I system_server: oneway function results will be dropped but finished with status OK and parcel size 4 05-16 18:09:54.150 459 1215 E TaskPersister: File error accessing recents directory (directory doesn't exist?). 05-16 18:09:56.930 274 401 D AudioHardwareTiny: do_out_standby,out = 0xea043b70,device = 0x2 05-16 18:09:56.932 274 401 D alsa_route: route_set_controls() set route 24 05-16 18:09:56.941 274 401 D AudioHardwareTiny: close device 05-16 18:09:56.943 459 477 I system_server: oneway function results will be dropped but finished with status OK and parcel size 4 05-16 18:10:00.010 620 620 D KeyguardClockSwitch: Updating clock:
06-13
这个报错信息表明应用程序被拒绝了访问CAN总线的权限。在Android系统中,访问CAN总线需要特定的权限,而且在某些情况下需要root权限才能访问。 要解决这个问题,可以尝试以下步骤: 1. 确保应用程序已经被授权访问...
Request Rate Limit Exceeded(解决方案).md
09-02
Request Rate Limit Exceeded(解决方案).md
Energy Audit
03-24
Energy Audit for Building
linux audit原理,Wauzh原理简析及audit规则风险评估
weixin_39646412的博客
05-13 881
HIDS基本原理熟悉HIDS的朋友应该了解,服务器的shell监控一般有两种,一种依靠Linuxaudit审计功能,比如Wazuh,一种是重编译和替换bash二进制文件,将shell上执行的命令实时通过socket传递到服务端。前一种方法优点是记录完整,缺点是会产生大量的日志,以及audit.rules配置失误的话导致服务器宕机。后一种方式虽然日志简洁,但如果通过命令远程执行漏洞不走服务器的sh...
linux audit.log,Linux登录时显示audit:backlog limit exceeded的解决方法
weixin_39615956的博客
05-15 1322
原创内容,转载请注明出处: https://www.myzhenai.com/thread-17898-1-1.html https://www.myzhenai.com.cn/post/2237.html我昨天在升级一个Fedora系统时遇到了这样的问题, 开机在进入系统菜单的时候莫明的显示audit:backlog limit exceeded,并且系统非常卡,不能进入系统, 偶尔进入系统后...
solve: vmware audit:backlog limit exceeded
kcetry的博客
10-11 2557
sudo vi /etc/selinux/config change SELINUX=disable
Ubuntu服务器日志满audit:backlog limit exceeded了会报错解决方案-Linux 审计系统 (auditd) 工具
最新发布
专注技术分享
04-16 655
auditd 是 Linux 系统中的审计守护进程,负责收集、记录和监控系统安全相关事件。以下是相关工具及其功能:核心组件auditd - 审计守护进程系统的审计服务主程序收集系统调用信息并写入日志文件通常存储在 /var/log/audit/audit.logauditctl - 审计控制工具配置审计系统规则修改审计系统参数(如缓冲区大小)查看状态和统计信息例:auditctl -b 8192 设置缓冲区大小ausearch - 审计日志搜索工具。
mysql backlog,Linux登录时显示audit:backlog limit exceeded的解决方法
weixin_39533307的博客
03-23 905
今天发现机器无法连接,并且通过VNC发现以下提示:audit:backlog limit exceededaudit:audit_backlog=321 > audit_backlog_limit=320导致VNC卡住并且无法操作,只好重启服务器,几分钟后,貌似一切正常。问题:audit服务在繁忙的系统中进行审计事件操作,导致缓冲瓶颈!解决办法:修改audit缓冲区大小参数,默认为64,修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunny05296

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值