背景 链接到标题 最近遇到了一个 case，一台主机处于挂起状态，当时主机的 IPMI console 显示日志 ： audit: backlog limit exceeded ，由于一些原因，导致没有及时的发送 NMI 信号触发 kernel core dump，所以只能根据已有信息进行排查，记录下 audit buffer 相关配置的学习。 Audit 链接到标题 Linux kernel 在 2.6 引入 audit，为了能够更好的记录系统中的各种安全事件，比如文件修改事件和系统调用事件。 配置方法 链接到标题 /etc/audit 目录下 控制规则：设置 audit 系统的一些行为以及修改其默认设置 文件系统规则：审计文件，记录特殊文件或目录的访问情况 系统调用规则：记录一些特殊应用程序的系统调用行为 buffer 配置 链接到标题 当事件无法被正确记录时，会打印一些异常日志： ``` audit: audit_backlog=321 > audit_backlog_limit=320 audit: audit_lost=44395 audit_rate_limit=0 audit_backlog_limit=320 audit: backlog limit exceeded ``` 根据 audit 的flag 配置决定，当 flag ==1 时，打印提示日志；当 flag ==2 时，kernel panic。 默认flag = 1 。