audit daemon rotating log files 는 로그 파일이 만들어지고 있다는 메세지로 보이는데
그 위에보면 backlog limit exceeded 라고 자꾸 한도초과되었다는 메세지가 나옴.
그래서 실제로 -b 320이던 제한수치를 -b 32000으로 늘려봤는데도.. 동일한 메세지가 나오는걸로 봐서
뭔가 다른문제가 있는걸로 보이는데.. 리눅스 고수님 도움좀 ㅋ
2개의 답변이 있습니다.
양성환
0 추천
|
5년 이상 전
audit size 보다 큰 문제 입니다. /etc/audit/audit.rules -b 의 값을 32000보다 크게 잡아 주시고 service auditd restart 하시면 될것 같습니다. 로그가 굉장히 많이 쌓이는 것 같은데요. auditd 데몬이 시스템 감사(audit)를 위한 데몬인데, 로긴/로그아웃, 로긴실패, sudo, 계정변경 등의 감사 정보가 /var/log/audit/audit.log 에 남습니다. 이 로그를 이용할 일이 없다면 그냥 stop시키세요 배포판 마다 조금씩 달라서 disable 방법은 찾아보셔요 :)
아이언맨
| 5년 이상 전
그냥.. 문제가 너무 많이되서 audit 패키지 자체를 삭제하고.. 기본 기능으로 사용하기로 했습니다.
양성환
0 추천
|
5년 이상 전
룰 설정 : /etc/audit/audit.rules 프로세스 설정 : /etc/audit/auditd.conf 감시로그 : /var/log/audit/audit.log
/etc/audit/auditd.conf 에서 max_log_file_action = ignore 하면 로테이트 안합니다.
아이언맨
| 5년 이상 전
감사합니다. 로테이션 로그는 안쌓이네요. 아래 메세지는 계속 발생하는데 방법이 없을까요? Dec 19 12:54:31 x3650M4 kernel: __ratelimit: 617906 callbacks suppressed Dec 19 12:54:31 x3650M4 kernel: audit: audit_backlog=32004 > audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: audit_lost=313052403 audit_rate_limit=0 audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: backlog limit exceeded Dec 19 12:54:31 x3650M4 kernel: audit: audit_backlog=32003 > audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: audit_lost=313052404 audit_rate_limit=0 audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: backlog limit exceeded Dec 19 12:54:31 x3650M4 kernel: audit: audit_backlog=32002 > audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: audit_lost=313052405 audit_rate_limit=0 audit_backlog_limit=32000 Dec 19 12:54:31 x3650M4 kernel: audit: backlog limit exceeded Dec 19 12:54:31 x3650M4 kernel: audit: audit_backlog=32001 > audit_backlog_limit=32000
2개의 답변이 있습니다.
/etc/audit/audit.rules -b 의 값을 32000보다 크게 잡아 주시고
service auditd restart
하시면 될것 같습니다.
로그가 굉장히 많이 쌓이는 것 같은데요.
auditd 데몬이 시스템 감사(audit)를 위한 데몬인데,
로긴/로그아웃, 로긴실패, sudo, 계정변경 등의 감사 정보가
/var/log/audit/audit.log 에 남습니다. 이 로그를 이용할 일이 없다면 그냥 stop시키세요
배포판 마다 조금씩 달라서 disable 방법은 찾아보셔요 :)
아이언맨 | 5년 이상 전
프로세스 설정 : /etc/audit/auditd.conf
감시로그 : /var/log/audit/audit.log
/etc/audit/auditd.conf 에서
max_log_file_action = ignore 하면 로테이트 안합니다.
아이언맨 | 5년 이상 전