Kif Awditja l-Proċess tal-Linux billi tuża 'autrace' fuq CentOS/RHEL


Dan l-artikolu huwa s-serje kontinwa tagħna dwar ir-reġistri tal-verifika tal-mistoqsijiet bl-użu ta 'ausearch u jiġġeneraw rapporti bl-użu tal-utilità aureport.

F'dan l-artikolu, aħna se nispjegaw kif tivverifika proċess partikolari bl-użu ta 'utilità ta' autrace, fejn ser nanalizzaw proċess billi ntraċċaw is-sejħiet tas-sistema li jagħmel proċess.

autrace hija utilità tal-linja tal-kmand li tmexxi programm sakemm joħroġ, bħal strace; iżid ir-regoli tal-awditjar biex jittraċċa proċess u jiffranka l-informazzjoni tal-verifika fil-fajl /var/www/audit/audit.log. Biex taħdem (jiġifieri qabel ma tħaddem il-programm magħżul), l-ewwel trid tħassar ir-regoli tal-awditjar eżistenti kollha.

Is-sintassi għall-użu ta' autrace tidher hawn taħt, u taċċetta biss għażla waħda, -r li tillimita s-syscalls miġbura għal dawk meħtieġa għall-valutazzjoni tal-użu tar-riżorsi tal-proċess:

# autrace -r program program-args

Attenzjoni: Fil-paġna man autrace, is-sintassi kif ġej, li fil-fatt huwa żball fid-dokumentazzjoni. Minħabba li tuża din il-formola, il-programm li tmexxi ser jassumi li qed tuża waħda mill-għażliet interni tiegħu u b'hekk jirriżulta fi żball jew iwettaq l-azzjoni awtomatika attivata mill-għażla.

# autrace program -r program-args

Jekk għandek xi regoli tal-verifika preżenti, autrace turi l-iżball li ġej.

# autrace /usr/bin/df

L-ewwel ħassar ir-regoli kollha tal-verifika bil-kmand li ġej.

# auditctl -D

Imbagħad ipproċedi biex tmexxi autrace mal-programm fil-mira tiegħek. F'dan l-eżempju, qed intraċċaw l-eżekuzzjoni tal-kmand df, li juri l-użu tas-sistema tal-fajls.

# autrace /usr/bin/df -h

Mill-screenshot ta 'hawn fuq, tista' ssib l-entrati kollha tal-log li għandhom x'jaqsmu mat-traċċa, mill-fajl tal-ġurnal tal-awditjar billi tuża l-utilità ausearch kif ġej.

# ausearch -i -p 2678

Fejn l-għażla:

  • -i – tippermetti l-interpretazzjoni ta’ valuri numeriċi f’test.
  • -p – jgħaddi l-ID tal-proċess li jrid jiġi mfittex.

Biex tiġġenera rapport dwar id-dettalji tat-traċċa, tista 'tibni linja ta' kmand ta 'ausearch u aureport bħal dan.

# ausearch -p 2678 --raw | aureport -i -f

Fejn:

  • --raw – jgħid lill-ausearch biex jagħti input mhux ipproċessat lill-aureport.
  • -f – jippermetti rappurtar dwar fajls u sockets af_unix.
  • -i – tippermetti l-interpretazzjoni ta’ valuri numeriċi f’test.

U bl-użu tal-kmand hawn taħt, qed nillimitaw is-syscalls miġbura għal dawk meħtieġa għall-analiżi tal-użu tar-riżorsi tal-proċess df.

# autrace -r /usr/bin/df -h

Jekk nassumu li awtraċċjt programm għall-aħħar ġimgħa; li jfisser li hemm ħafna informazzjoni mormija fir-reġistru tal-verifika. Biex tipproduċi rapport għar-rekords tal-lum biss, uża l-marka -ts ausearch biex tispeċifika d-data/ħin tal-bidu għat-tfittxija:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Dak hu! b'dan il-mod tista 'tintraċċa u tivverifika proċess Linux speċifiku billi tuża għodda ta' autrace, għal aktar informazzjoni iċċekkja l-paġni man.

Tista' wkoll taqra dawn il-gwidi utli relatati:

  1. Sysdig – Għodda qawwija ta' Monitoraġġ u Soluzzjoni ta' Problemi tas-Sistema għal Linux
  2. BCC – Għodod ta' Traċċar Dinamika għall-Monitoraġġ tal-Prestazzjoni tal-Linux, Netwerking u Aktar
  3. 30 Eżempji Utli ta’ ‘PS Command’ għall-Monitoraġġ tal-Proċess tal-Linux
  4. CPUTool – Limitu u Kontroll l-Użu tas-CPU ta' Kwalunkwe Proċess fil-Linux
  5. Sib l-Ogħla Proċessi li Jħaddmu bl-Ogħla Memorja u Użu tas-CPU fil-Linux

Dak kollu għalissa! Tista' tistaqsi kwalunkwe mistoqsija jew taqsam ħsibijiet dwar dan l-artikolu permezz tal-kumment minn hawn taħt. Fl-artiklu li jmiss, se niddeskrivu kif tikkonfigura PAM (Modulu ta 'Awtentikazzjoni Pluggable) għall-verifika tal-input TTY għal utenti speċifikati CentOS/RHEL.