Kako preveriti proces Linuxa z uporabo "autrace" na CentOS/RHEL
Ta članek je naša tekoča serija revizijskih dnevnikov poizvedb z uporabo ausearch in ustvarjanje poročil s pripomočkom aureport.
V tem članku bomo razložili, kako preveriti dani proces s pomočjo pripomočka autrace, kjer bomo analizirali proces s sledenjem sistemskim klicem, ki jih opravi proces.
autrace je pripomoček iz ukazne vrstice, ki izvaja program do njegovega izhoda, tako kot strace; doda revizijska pravila za sledenje procesu in shrani revizijske podatke v datoteko /var/www/audit/audit.log. Če želite, da deluje (tj. Pred zagonom izbranega programa), morate najprej izbrisati vsa obstoječa revizijska pravila.
Sintaksa za uporabo autrace je prikazana spodaj in sprejema le eno možnost, -r
, ki omejuje zbrane sistemske klice na tiste, ki so potrebni za oceno porabe virov procesa:
# autrace -r program program-args
Pozor: Na priročni strani autrace je sintaksa naslednja, kar je pravzaprav napaka v dokumentaciji. Ker bo program, ki ga zaženete, uporabil ta obrazec, bo domneval, da uporabljate eno od njegovih notranjih možnosti, kar bo povzročilo napako ali izvedlo privzeto dejanje, ki ga omogoči možnost.
# autrace program -r program-args
Če so prisotna kakršna koli pravila revizije, samodejno prikaže naslednjo napako.
# autrace /usr/bin/df
Najprej z naslednjim ukazom izbrišite vsa revidirana pravila.
# auditctl -D
Nato nadaljujte z izvajanjem programa autrace s svojim ciljnim programom. V tem primeru sledimo izvajanju ukaza df, ki prikazuje uporabo datotečnega sistema.
# autrace /usr/bin/df -h
Na zgornjem posnetku zaslona najdete vse vnose dnevnika, ki so povezani s sledenjem, iz datoteke dnevnika revizije s pomočjo pripomočka ausearch, kot sledi.
# ausearch -i -p 2678
Kje je možnost:
-
-i
-omogoča razlago številskih vrednosti v besedilo. -
-p
-posreduje ID procesa za iskanje.
Če želite ustvariti poročilo o podrobnostih sledenja, lahko zgradite ukazno vrstico ausearch in aureport, kot je ta.
# ausearch -p 2678 --raw | aureport -i -f
Kje:
-
--raw
-pove ausearch, da dostavi surov vhod v aureport. -
-f
-omogoča poročanje o datotekah in vtičnicah af_unix. -
-i
-omogoča razlago številskih vrednosti v besedilo.
S spodnjim ukazom omejujemo zbrane sistemske klice na tiste, ki so potrebni za analizo uporabe virov procesa df.
# autrace -r /usr/bin/df -h
Ob predpostavki, da ste v zadnjem tednu odobrili program; kar pomeni, da je v revizijskih dnevnikih veliko podatkov. Če želite izdelati poročilo samo za današnje zapise, z zastavico ausearch -ts
določite začetni datum/čas iskanja:
# ausearch -ts today -p 2678 --raw | aureport -i -f
To je to! na ta način lahko s pomočjo orodja autrace sledite in pregledujete določene procese Linuxa, za več informacij preverite strani za ljudi.
Preberete lahko tudi te povezane, uporabne vodnike:
- Sysdig - Zmogljivo orodje za nadzor sistema in odpravljanje težav za Linux
- BCC - orodja za dinamično sledenje za spremljanje zmogljivosti Linuxa, mreženje in drugo
- 30 uporabnih primerov ukaza ‘ps Command’ za spremljanje procesov v sistemu Linux
- CPUTool - Omejite in nadzirajte uporabo katerega koli procesa v Linuxu CPU
- Poiščite najbolj uspešne procese po največji porabi pomnilnika in procesorja v Linuxu
To je vse za zdaj! V spodnjem komentarju lahko postavite kakršna koli vprašanja ali delite mnenja o tem članku. V naslednjem članku bomo opisali, kako konfigurirati PAM (Pluggable Authentication Module) za revizijo vhoda TTY za določene uporabnike CentOS/RHEL.