auditd が "Error receiving audit netlink packet (No buffer space available)" と報告し、システムが自動的に再起動する

Issue

• auditd ログのローテーション後、または大規模な yum update の適用後に、auditd が Error receiving audit netlink packet (No buffer space available) を繰り返し報告します。

  Dec 29 11:10:33 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:34 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:34 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:35 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:40 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:40 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  Dec 29 11:10:40 myrhel8 auditd[719779]: Error receiving audit netlink packet (No buffer space available)
  

  しかし、以下のようなバックログ制限を超えたメッセージはありません。

  kernel: audit: audit_backlog=65537 > audit_backlog_limit=65536
  kernel: audit: audit_lost=126533574 audit_rate_limit=0 audit_backlog_limit=65536
  

  (このケースは 'kernel: audit: backlog limit exceeded' messages in /var/log/messages に記載されています)

• auditd のルールに -f 2 パラメーターが設定されている場合、システムは自動的にパニックになります。

  # grep -- "-f 2" /etc/audit/audit.rules 
  -f 2
  

• サードパーティーのカーネルモジュールがインストールされていません。