如何快速解决CentOS backlog

快速判断与定位

• 先区分两类 backlog：
  1. TCP 半连接队列（SYN 队列）与全连接队列（accept 队列）；
  2. auditd 审计子系统的日志积压（常见报错为“audit: backlog limit exceeded”）。
• 快速检查命令：
  • 查看全连接队列是否溢出：
    • 用 ss -lnt | grep :端口 观察 LISTEN 行的 Recv-Q（当前排队）/Send-Q（最大队列）；
    • 用 netstat -s | grep -i ‘accept queue|listen overflows’ 查看累计溢出次数是否增长。
  • 查看半连接队列压力：
    • 用 netstat -s | grep -i ‘syn recv’ 观察半连接相关计数是否异常增长。
  • 若为审计积压：
    • 执行 auditctl -s 查看 backlog_limit 与当前状态；
    • 检查系统日志是否持续打印 “audit: backlog limit exceeded”。
• 队列满时的行为要点：全连接队列满时，内核默认会丢弃客户端的 ACK；将 net.ipv4.tcp_abort_on_overflow=1 会让服务端直接返回 RST，客户端更易出现 “connection reset by peer”。

TCP 连接队列的快速缓解

• 同步调大“三层上限”：
  1. 应用层：把服务代码的 listen(backlog) 提升到较高值（如 2048/4096）；
  2. 系统层：提升 net.core.somaxconn（全连接队列上限）；
  3. 协议层：提升 net.ipv4.tcp_max_syn_backlog（半连接队列上限）。
• 立即生效（示例将 somaxconn 调到 2048，SYN 队列调到 8192）：
  • sysctl -w net.core.somaxconn=2048
  • sysctl -w net.ipv4.tcp_max_syn_backlog=8192
  • 永久生效：在 /etc/sysctl.conf 写入
    • net.core.somaxconn = 2048
    • net.ipv4.tcp_max_syn_backlog = 8192
    • 执行 sysctl -p 使配置生效。
• 连接建立保护：开启 net.ipv4.tcp_syncookies=1，在半连接队列压力高时防止握手被压垮。
• 验证与取舍：再次用 ss -lnt 观察 Send-Q 是否变大；如全连接队列仍频繁溢出，优先检查应用是否能及时 accept()，再考虑继续提高队列或横向扩容（负载均衡/多实例）。

auditd 审计积压的快速缓解

• 估算与调整缓冲区：
  • 单个审计缓冲约 8970 字节；默认 backlog_limit=320，约占用 2.7 MiB；
  • 例如将 backlog_limit=10000，约占用 87 MiB（请确保内存充足）。
• 临时生效：
  • auditctl -b 10000（运行时调整最大积压）。
• 永久生效：
  • 在 /etc/audit/audit.rules 顶部加入 “-b 10000”；
  • 重启 auditd：systemctl restart auditd（或 service auditd restart）。
• 风险提示：盲目增大积压会消耗更多内存；若非合规刚需，勿长期关闭审计（生产环境不建议关闭）。

常见坑位与修正

• 只改内核参数但应用 listen(backlog) 很小，实际队列仍受应用限制；两者需同时调大。
• 误以为“增大 somaxconn 就能无限增大 SYN 队列”；真实上限由 min(somaxconn, listen backlog, tcp_max_syn_backlog) 共同约束，且部分内核会对 SYN 队列做幂次对齐。
• 全连接队列满时把 tcp_abort_on_overflow 置 1 虽能更快“告知”客户端失败，但更建议保持为 0 以容忍短时突发，配合扩容与 accept 能力提升更稳妥。