সার্ভার লকআপ, / ভার / লগ / বার্তা রিপোর্ট "ব্যাকলগ সীমা অতিক্রম"

9

আমাদের কাছে একটি সেন্টস ওএস রয়েছে যা আজ সকালে বাহ্যিক নেটওয়ার্ক ট্র্যাফিকের জন্য প্রতিক্রিয়াহীন হয়ে উঠেছে। এটি ভার্চুয়াল মেশিন। আমি ভিএম রিবুট করতে সক্ষম হয়েছি। আবার লগ ইন করার পরে, আমি নীচে / var / লগ / বার্তাগুলি ফাইলটিতে রিবুটের বিন্দু পর্যন্ত বার বার পুনরাবৃত্তি করেছিলাম:

Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320

আমি অন্য ফোরামে পড়েছি যে নিম্নলিখিত আদেশটি ব্যাকলগ ট্র্যাফিকের উত্স সনাক্ত করতে পারে:

[root@PBX log]# aureport --start today --event --summary -i

Event Summary Report
======================
total  type
======================
486  USER_ACCT
486  CRED_ACQ
486  USER_START
485  LOGIN
477  CRED_DISP
477  USER_END
6  USER_LOGIN
3  USER_AUTH
2  CONFIG_CHANGE
2  CRED_REFR
1  DAEMON_START

এই সমস্যাটি আবার না ঘটতে আমার পরবর্তী কোন পদক্ষেপ নেওয়া উচিত তা সম্পর্কে কেউ আমাকে পরামর্শ দিতে পারেন? ব্যাকলগের উদ্দেশ্য বা ইভেন্টের সংক্ষিপ্ত রিপোর্টের আউটপুট কী বোঝায় তার সাথে আমি বিশেষভাবে পরিচিত নই।

— ওয়াইডাব্লুসিএ হ্যালো
সূত্র

আপনি কি কোনও স্টোরেজ সমস্যা বাতিল করতে পারেন? স্টোরেজটি অ্যাক্সেসযোগ্য হলে লগগুলি লেখা হয় না, তবে কার্নেলটি চলতে থাকে - কমপক্ষে কিছু সময়ের জন্য।

— দ্য ওয়াববিট

সঞ্চয়স্থান স্থানীয় এবং সমস্যার কোনও চিহ্ন দেখায় নি। আমি মনে করি এটি সম্ভবত সম্ভবত দরকারী তথ্য লগ করা হচ্ছে না।

— ওয়াইডাব্লুসিএ হ্যালো

5

আপনি পরিবর্তন করে ব্যাকলগ বৃদ্ধি করতে পারেন -b 320মধ্যে /etc/audit/audit.rulesবৃহত্তর কিছু করুন এবং দেখুন এটি কোনো প্রভাব নেই, কিন্তু এই তুমি কি আমাদের এখনও খুব কয়েক নিরীক্ষা ফলাফল দেখান, তাই আমার সন্দেহ নিরীক্ষা ত্রুটি কিছু অনেক সিস্টেম নিজেই জমাকৃত কি আছে পরিমাণ। এটি সম্ভবত অন্য কিছু ঘটনার একমাত্র সহানুভূতি।

/var/log/audit/audit.logকোন ইভেন্টগুলি আপনার ডিবাগিংয়ের কোনও উপযোগী হতে পারে তা দেখার জন্য লগ করা হয়েছে কিনা তা পরীক্ষা করে দেখুন।

— ম্যাটিয়াস অহনবার্গ
সূত্র

audit.logসমস্যাটি লক্ষ্য করার আগে প্রায় 2 ঘন্টা আগে নিঃশব্দে গিয়েছিলাম (খুব সকালে এটি ঘটেছিল)। তারপরে, বার্তা পুনরায় বুট শুরু করে started আমি আশা করছি এটি অন্য কোনও লিনাক্স হিমশীতল দৃশ্যের নয় যেখানে লগগুলি থেকে কোনও সত্যিকার উত্তর পাওয়া যায় না: /

— YWCA হ্যালো

দ্রষ্টব্য যে RHEL7- ভিত্তিক সিস্টেমে আপনার ফাইল /etc/audit/rules.d/audit.rules পরিবর্তন করা প্রয়োজন কারণ /etc/audit/audit.rules নিরীক্ষণ পুনরায় আরম্ভ করার সময় পুনরায় লেখা হয়।

— ব্রুনো ম্যারিলোট

2

একাধিক সমাধান রয়েছে:

ব্যাকলগটি দীর্ঘতর করতে, /etc/audit/audit.rules"-b 320" "-b 8192" এ যুক্ত বা সম্পাদনা করে যুক্ত বা সম্পাদনা করুন।
অগ্রাধিকার_ বুস্ট সম্পাদনা করে অগ্রাধিকারটি 3 থেকে 4 বা 5 এ পরিবর্তন করুন /etc/audit/auditd.conf।

এই সমস্যার কারণে কী সমস্যা রয়েছে তা জানার জন্য, চালনা করুন aureport --start today বা aureport --start today --event --summary -i

— ইসমাইল মিরজা
সূত্র