Linux audit buffer 配置

Yiran at 
背景最近遇到了一个 case,一台主机处于挂起状态,当时主机的 IPMI console 显示日志 : audit: backlog limit exceeded ,由于一些原因,导致没有及时的发送 NMI 信号触发 kernel core dump,所以只能根据已有信息进行排查,记录下 audit buffer 相关配置的学习。AuditLinux kernel 在 2.6 引入 audit,为了能够更好的记录系统中的各种安全事件,比如文件修改事件和系统调用事件。配置方法/etc/audit 目录下控制规则:设置 audit 系统的一些行为以及修改其默认设置文件系统规则:审计文件,记录特殊文……