为什么我在 EC2 Linux 实例的屏幕截图和系统日志中看到“审计:超出积压限制”错误,我该如何避免这种情况?
上次更新时间:2020 年 9 月 18 日
我在 Amazon Elastic Compute Cloud (Amazon EC2) Linux 实例的屏幕截图和系统日志中看到“已阻止审计回调”和“审计:超出积压限制”错误消息。为什么我会收到这些消息,以及如何防止它们再次发生?
简短描述
Linux 系统中的审计积压缓冲区是操作系统用来维护或记录审计事件的内核级套接字缓冲区队列。当新的审计事件触发时,系统会记录该事件并将其添加到审计积压缓冲区队列中。
backlog_limit 参数值是审计积压缓冲区的数量。默认情况下,参数设置为 320,如以下示例所示:
# auditctl -s
enabled 1
failure 1
pid 2264
rate_limit 0
backlog_limit 320
lost 0
backlog 0
当记录的审计事件超出默认数量 320 时,将导致实例上出现以下错误:
audit: audit_backlog=321 > audit_backlog_limit=320
audit: audit_lost=44393 audit_rate_limit=0 audit_backlog_limit=320
audit: backlog limit exceeded
-或者-
audit_printk_skb: 153 callbacks suppressed
audit_pri