该问题表现为日志记录过少,只能保存大约数个小时的日志记录,从而间接影响了问题发生时的定位能力。

问题定位步骤如下:

1. FIM管控面负责管理除了审计日志以外的日志。当大于10G时会开始清理日志。但是它的计算方式包含了审计日志的大小。

2. 内核侧audit_space_limit参数负责管理审计日志大小,每个实例单独计算。默认当单个实例的审计日志大于1G时开始删除。

3. 查找管控面和内核侧的日志设定值,确认是否为默认。如果非默认(比如管控面设置过小,或者审计日志设置过大),可能导致审计日志开始删除的时候,全部实例的审计日志加起来已经超过了管控面的阈值。这触发了FIM的日志清理,因为它计算会算上审计日志。

4. 但FIM又没权利删除审计日志,这导致它开始一刻不停的对别的日志动手进行删除。从而导致日志记录持续被删,无法保存长久。

解决方案:

如果客户不用审计日志的话先关掉,然后把审计日志移到别的地方;或者把审计日志的目录改到其他地方,和管控面负责的日志错开路径。