O que fazer quando um sistema Linux não me deixa logar por causa de "auditd: backlog limit exceeded"?

Publicado por Sysadmin Urbano | Infraestrutura, SysOps e DevOps

Um guia prático para quem vive na linha de frente da operação de sistemas.

Erro "auditd: backlog limit exceeded" no Linux

Ao tentar iniciar ou acessar um sistema Linux, especialmente em ambientes como Oracle Linux, RHEL ou CentOS, você pode se deparar com a seguinte mensagem:

auditd: backlog limit exceeded

Esse erro pode impedir o sistema de inicializar corretamente ou bloquear o login em modo gráfico ou console.

🧠 O que significa esse erro?

O auditd é o daemon responsável pelo sistema de auditoria do Linux. Ele monitora e registra eventos importantes para segurança e conformidade.

Quando muitos eventos acontecem em sequência e o sistema não consegue processar todos, o backlog (fila de eventos) estoura o limite definido — e o kernel considera isso uma falha de segurança.

🛠️ Soluções temporárias

• Reinicie o sistema e entre no modo de emergência ou rescue.
• Edite o GRUB temporariamente durante o boot:
• Pressione e na entrada do GRUB.
• Adicione o seguinte ao final da linha linux:

  audit=0

• Pressione Ctrl + X ou F10 para iniciar com essa opção.
• Isso desativa o audit temporariamente e pode permitir o login.

⚙️ Correção permanente

Se for seguro desabilitar o auditd no seu caso, você pode editar a configuração do GRUB:

1. Abra o arquivo /etc/default/grub como root.
2. Adicione audit=0 à variável GRUB_CMDLINE_LINUX
3. Atualize o GRUB com:

   grub2-mkconfig -o /boot/grub2/grub.cfg

   (ou equivalente na sua distro)
4. Reinicie o sistema.

📌 Alternativas

• Aumentar o limite de backlog com:

  audit_backlog_limit=8192

  no GRUB
• Corrigir travamentos causados por excesso de logs ou configurações excessivas do auditd

---

“Em sistemas auditáveis, o silêncio também pode ser interpretado como falha.”