最近维护的几台服务器经常出现宕机,查系统日志一看都卡在一个地方了,停的地方有提到Auditd,曾经有遇上过没放心上没想到这次几次连续宕机都是由这货引起的。
具体是什么原因导致的我也不清楚也没有深查,直接懒惰暴力的解决掉这个问题,流程如下:
先查看状态

service audit status

类似auditd (pid xxx) is running...的返回显示运行中。
禁用service启动功能并停止服务,
停止cron和atd的服务好顺利从内核里面删除模块,
禁用内核加载模块,启动停止的crond和atd服务删除残留日志。

暴力的复制粘贴记录如下

chkconfig auditd off
service auditd stop
service crond stop
service atd stop
rmmod audit
echo "alias char-major-10-224 off" >> /etc/modprobe.d/dist.conf
service crond start
service atd start
rm -f /var/log/audit*