Linux audit “Backlog limit exceeded”

最新推荐文章于 2025-06-03 18:18:11 发布
原创 最新推荐文章于 2025-06-03 18:18:11 发布 · 8.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何解决Linux系统中出现的“Backlog limit exceeded”错误,通过调整审计日志缓冲区大小来缓解该问题,并提供了一般性的建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux audit “Backlog limit exceeded”

If you’re running a busy Linux system, you may see the following error in your Kernel logs:

audit: backlog limit exceeded

For example:
image
messages may write to your console output like this

To alleviate the message output in your logs, you can increase the audit buffer.

Edit /etc/audit/rules.d/audit.rules and increase the value for “-b”. For Red Hat Linux 6 and 7 systems, the default value is 320.

[root@k8s-master test]# cat /etc/audit/rules.d/audit.rules 
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page

Determining the appropriate value may require some time and experimentation. As a general rule, we suggest doubling the value and then observing it’s affects. It is recommended not to set the value too high, as it may cause increased system resource usage.

Once your value is set, save the file and restart the auditd service.

[root@k8s-master test]# service auditd restart
Stopping logging:                                          [  OK  ]
Redirecting start to /bin/systemctl start auditd.service

Please note that the audit: backlog limit exceeded message is a generic message and could be a symptom of a bigger issue (most common, log writing issues due to ext4 file system issues). Further troubleshooting may be necessary.

linux audit 源码分析,Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释...
weixin_39927623的博客
05-12 637
原标题:Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释2.4.1.6核心代码注释//创建一个审计缓冲区,存放类型为type的审计消息struct audit_buffer *audit_log_start(struct audit_context *ctx, gfp_t gfp_mask,int type){struct audit_buffer*ab= NUL...
Linux内核审计日志audit_log,linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1353
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
audit:backlog limit exceeded
weixin_34362991的博客
02-23 1298
今天发现存储服务器业务不可用,服务器能ping通,远程不了! 到机房管理员那里查看服务器状态后,发现显示如下: 显然系统已经崩溃,只能先重启服务器,先恢复业务,然后针对backlog limit exceeded的告警查找原因 通过百度查找audit服务是linux的一个审计服务,上述原因是audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈,导致系统崩溃 在优化audit服务...
Linux报错audit: backlog limit exceeded
Borny鼎鼎的博客
08-01 2162
Linux ssh连接不上,ping、telnet都是通的,输入dmesg -T命令或登录界面均提示audit: backlog limit exceeded。原因是audit服务在繁忙的系统中进行审计事件操作,缓冲区存在瓶颈,导致系统接近崩溃。查看auditd服务状态,service auditd status。重启auditd服务,service auditd restart。将backlog_limit值由320修改为8192。查看配置,auditctl -s。
Audit buffering and rate limiting
最新发布
m0_73674033的博客
06-03 795
在这种情况下, backlog 队列被设置为最多包含 320 个条目(这对于生产系统来说较低),并且有更多消息正在被添加(Linux 内核在某些情况下允许比配置的条目多几条,以提高性能和一致性)。它还显示当前在 backlog 队列中等待的事件数量(在我们的情况下是零,因此审计用户空间守护进程已 正确地消费并记录了审计事件)。因此,请正确调整它,并享受Linux审计子系统的强大功能。现在,生成的审计事件消息并不直接传送到审计守护进程 - 它们首先被排队在一个类型的后备队列中,上面的后备相关消息就来自这里。
Linux报错:audit: backlog limit exceeded
至虛極,守靜篤
12-29 2372
今天,一台虚拟机上操作昨天打开的连接一直没响应,新打开连接连接不上。SSH校验不通过。通过IT的后台,可以看到满屏的audit服务记录的审计事件超出默认(或设置)数量 ,达到或超出容量的审计缓冲区队列也可能导致实例锁定或持续无响应状态。audit服务配置。
audit:backlog limit exceeded,无法ssh登陆
wantming的专栏
08-14 8575
现象 云主机突然CPU告警,发现无法ssh登陆,ip可以ping通,相关服务也正常 报错 console口有大量audit:backlog limit exceeded报错 解决 重启服务器后恢复。 查看系统日志,有大量audit: audit_backlog=2049 > audit_backlog_limit=2048报错 audit服务是linux的一个审计服务,上述原因是audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈,导致系统崩溃 查看本机audit.
linux audit原理,Wauzh原理简析及audit规则风险评估
weixin_39646412的博客
05-13 1043
HIDS基本原理熟悉HIDS的朋友应该了解,服务器的shell监控一般有两种,一种依靠Linuxaudit审计功能,比如Wazuh,一种是重编译和替换bash二进制文件,将shell上执行的命令实时通过socket传递到服务端。前一种方法优点是记录完整,缺点是会产生大量的日志,以及audit.rules配置失误的话导致服务器宕机。后一种方式虽然日志简洁,但如果通过命令远程执行漏洞不走服务器的sh...
Energy Audit
03-24
Energy Audit for Building
安卓APP访问CAN有如下报错05-16 18:09:54.015 8022 8022 D can_test: nCanFd = 67 05-16 18:09:54.015 8022 8022 D can_test: Send can_id 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:444): avc: denied { ioctl } for path="socket:[114169]" dev="sockfs" ino=114169 ioctlcmd=0x8933 scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.015 8022 8022 D can_test: Send Error frame[0] 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:445): avc: denied { bind } for scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.013 8022 8022 I com.bin.cantest: type=1400 audit(0.0:446): avc: denied { write } for path="socket:[114169]" dev="sockfs" ino=114169 scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=can_socket permissive=1 05-16 18:09:54.020 0 0 W audit : audit_lost=15 audit_rate_limit=5 audit_backlog_limit=64 05-16 18:09:54.020 0 0 E audit : rate limit exceeded 05-16 18:09:54.060 305 388 W APM::AudioPolicyEngine: getDevicesForStrategy() unknown strategy: -1 05-16 18:09:54.060 459 477 I system_server: oneway function results will be dropped but finished with status OK and parcel size 4 05-16 18:09:54.150 459 1215 E TaskPersister: File error accessing recents directory (directory doesn't exist?). 05-16 18:09:56.930 274 401 D AudioHardwareTiny: do_out_standby,out = 0xea043b70,device = 0x2 05-16 18:09:56.932 274 401 D alsa_route: route_set_controls() set route 24 05-16 18:09:56.941 274 401 D AudioHardwareTiny: close device 05-16 18:09:56.943 459 477 I system_server: oneway function results will be dropped but finished with status OK and parcel size 4 05-16 18:10:00.010 620 620 D KeyguardClockSwitch: Updating clock:
06-13
这个报错信息表明应用程序被拒绝了访问CAN总线的权限。在Android系统中,访问CAN总线需要特定的权限,而且在某些情况下需要root权限才能访问。 要解决这个问题,可以尝试以下步骤: 1. 确保应用程序已经被授权访问...
Ubuntu服务器日志满audit:backlog limit exceeded了会报错解决方案-Linux 审计系统 (auditd) 工具
专注技术分享
04-16 920
auditd 是 Linux 系统中的审计守护进程,负责收集、记录和监控系统安全相关事件。以下是相关工具及其功能:核心组件auditd - 审计守护进程系统的审计服务主程序收集系统调用信息并写入日志文件通常存储在 /var/log/audit/audit.logauditctl - 审计控制工具配置审计系统规则修改审计系统参数(如缓冲区大小)查看状态和统计信息例:auditctl -b 8192 设置缓冲区大小ausearch - 审计日志搜索工具。
linux audit.log,Linux登录时显示audit:backlog limit exceeded的解决方法
weixin_39615956的博客
05-15 1353
原创内容,转载请注明出处: https://www.myzhenai.com/thread-17898-1-1.html https://www.myzhenai.com.cn/post/2237.html我昨天在升级一个Fedora系统时遇到了这样的问题, 开机在进入系统菜单的时候莫明的显示audit:backlog limit exceeded,并且系统非常卡,不能进入系统, 偶尔进入系统后...
mysql backlog,Linux登录时显示audit:backlog limit exceeded的解决方法
weixin_39533307的博客
03-23 950
今天发现机器无法连接,并且通过VNC发现以下提示:audit:backlog limit exceededaudit:audit_backlog=321 > audit_backlog_limit=320导致VNC卡住并且无法操作,只好重启服务器,几分钟后,貌似一切正常。问题:audit服务在繁忙的系统中进行审计事件操作,导致缓冲瓶颈!解决办法:修改audit缓冲区大小参数,默认为64,修改...
solve: vmware audit:backlog limit exceeded
kcetry的博客
10-11 2570
sudo vi /etc/selinux/config change SELINUX=disable
error: audit:backlog limit exceeded
weixin_34346099的博客
11-20 954
audit:backlog limit exceeded解决方法:audit 服务对所有的系统调用进行审计操作,在配置文件中,排除audit.conf文件中,日志、磁盘空间等配置参数的性能瓶颈!最终问题锁定在,audit服务在繁忙的系统中进行审计事件操作,缓冲瓶颈!增加audit.rules 的-b 选项,8192kb,(此值,要根据系统buffer值,适当分配---考虑到其...
centos7 EOL大限已到,你会不会还不知道如何优化吧?
see0see
09-19 799
新人入坑Linux第一步--系统优化篇
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
audit : audit_lost=9 audit_rate_limit=5 audit_backlog_limit=64
06-10
这是一条关于系统审计日志...audit_backlog_limit=64 表示审计日志缓冲区的大小为 64。当审计日志的数量达到这个上限时,新的审计日志将被丢弃。这些参数可以帮助系统管理员监控系统的安全性,以及检测潜在的安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值