docker审计日志量过大影响磁盘IO如何解决？

问题描述

部分集群版本的存量节点docker审计日志量较大，由于操作系统内核缺陷，会低概率出现IO卡住。该问题可通过优化审计日志规则，降低问题出现的概率。

影响范围

受影响的集群版本：

• v1.15.11-r1
• v.1.17.9-r0
  

  • 只需对已有节点进行修复，新建节点默认无此问题。
  • 升级过程需要重启auditd组件。

检查方法

1. 以root用户登录node节点。
2. 执行以下命令检查当前节点是否存在该问题：

   auditctl -l | grep "/var/lib/docker -p rwxa -k docker"

   如果有类似下图的回显，则说明存在该问题，需要进行修复，如果无回显则说明节点不受此问题影响。

   

解决方法

1. 以root用户登录node节点。
2. 执行如下命令：

   sed -i "/\/var\/lib\/docker -k docker/d" /etc/audit/rules.d/docker.rules

   service auditd restart

验证方法

执行以下命令检查问题是否修复：

auditctl -l | grep "/var/lib/docker -p rwxa -k docker"

如果无回显，则说明问题已修复。