Das Problem
Ein Linux-Betriebssystem ist beim Booten fehlgeschlagen, aus dem Konsolenprotokoll können wir sehen, dass am Anfang alles gut geht, der Kernel geladen ist und die Init-Skripte OK ausgeführt wurden. Aber plötzlich wurde das Linux-Betriebssystem heruntergefahren (empfangenes TERM-Signal), nachdem der auditd-Daemon gestartet wurde.
... dracut: Switching root mount: mount point /proc/bus/usb does not exist Welcome to Oracle Linux Server Starting udev: udev: starting version 147 (snip) Mounting local filesystems: EXT4-fs (xvda1): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-4): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-9): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-5): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-8): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-3): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-2): mounted filesystem with ordered data mode. Opts: (null) [ OK ] Enabling local filesystem quotas: [ OK ] Enabling /etc/fstab swaps: Adding 16777212k swap on /dev/mapper/vg_ol68-LogVol08. Priority:-1 extents:1 across:16777212k SS [ OK ] Entering non-interactive startup Starting OVM guest daemon: [ OK ] Calling the system activity data collector (sadc)... Starting monitoring for VG vg_ol68: 10 logical volume(s) in volume group "vg_ol68" monitored [ OK ] NET: Registered protocol family 10 Bringing up loopback interface: [ OK ] Bringing up interface eth0: Determining if ip address x.x.x is already in use for device eth0... [ OK ] Starting auditd: type=1305 audit(1500420382.015:3): audit_pid=1626 old=0 auid=4294967295 ses=4294967295 res=1 init: rc main process (1341) killed by TERM signal [ OK ]
Es wurde bestätigt, dass kein Kernel-Panic-Problem aufgetreten ist. Das Linux-Betriebssystem lief seit Tagen gut. Keine von Menschen verursachte Operation/Änderung vor dem Problem.
Die Lösung
Normalerweise fährt das Linux-Betriebssystem nicht von selbst herunter. Aber einige Anwendungen/Dienstprogramme tun dies. Da jedes Mal, wenn das TERM-Signal beim Start des auditd-Daemons empfangen wurde, festgestellt wurde, dass der auditd-Daemon die Funktion hat, das Linux-Betriebssystem in bestimmten Situationen anzuhalten.
Die folgenden Elemente in „man auditd.conf“ werden das Linux-Betriebssystem herunterfahren, wenn der Wert auf „halt“ gesetzt wird.
- space_left_action
- admin_space_left_action
- disk_full_action
- disk_error_action
Das Linux-Betriebssystem hat in diesem Fall diese „Halt“-Einstellungen.
# cat /etc/audit/auditd.conf | grep halt admin_space_left_action = halt disk_full_action = halt disk_error_action = halt
Und das Volumen von /var/log/audit hat nur 6 MB Speicherplatz zur Verfügung.
/dev/mapper/vg_LogVol05 16040 428304 61524 88% /var/log/audit
Dies ist das erwartete Verhalten, wenn auditd ein Speicherplatzproblem oder einen Festplattenfehler gefunden hat. Bitte überprüfen Sie das Linux-Betriebssystem entsprechend. Wenn Sie nicht möchten, dass auditd das Linux-Betriebssystem herunterfährt, können Sie „halt“ in „syslog“ ändern, siehe „man auditd.conf“ für weitere Details.
# man auditd.conf