Kako preveriti proces Linuxa z uporabo "autrace" na CentOS/RHEL

Ta članek je naša tekoča serija revizijskih dnevnikov poizvedb z uporabo ausearch in ustvarjanje poročil s pripomočkom aureport.

V tem članku bomo razložili, kako preveriti dani proces s pomočjo pripomočka autrace, kjer bomo analizirali proces s sledenjem sistemskim klicem, ki jih opravi proces.

autrace je pripomoček iz ukazne vrstice, ki izvaja program do njegovega izhoda, tako kot strace; doda revizijska pravila za sledenje procesu in shrani revizijske podatke v datoteko /var/www/audit/audit.log. Če želite, da deluje (tj. Pred zagonom izbranega programa), morate najprej izbrisati vsa obstoječa revizijska pravila.

Sintaksa za uporabo autrace je prikazana spodaj in sprejema le eno možnost, -r , ki omejuje zbrane sistemske klice na tiste, ki so potrebni za oceno porabe virov procesa:

# autrace -r program program-args

Pozor: Na priročni strani autrace je sintaksa naslednja, kar je pravzaprav napaka v dokumentaciji. Ker bo program, ki ga zaženete, uporabil ta obrazec, bo domneval, da uporabljate eno od njegovih notranjih možnosti, kar bo povzročilo napako ali izvedlo privzeto dejanje, ki ga omogoči možnost.

# autrace program -r program-args

Če so prisotna kakršna koli pravila revizije, samodejno prikaže naslednjo napako.

# autrace /usr/bin/df

Najprej z naslednjim ukazom izbrišite vsa revidirana pravila.

# auditctl -D

Nato nadaljujte z izvajanjem programa autrace s svojim ciljnim programom. V tem primeru sledimo izvajanju ukaza df, ki prikazuje uporabo datotečnega sistema.

# autrace /usr/bin/df -h

Na zgornjem posnetku zaslona najdete vse vnose dnevnika, ki so povezani s sledenjem, iz datoteke dnevnika revizije s pomočjo pripomočka ausearch, kot sledi.

# ausearch -i -p 2678

Kje je možnost:

  • -i -omogoča razlago številskih vrednosti v besedilo.
  • -p -posreduje ID procesa za iskanje.

Če želite ustvariti poročilo o podrobnostih sledenja, lahko zgradite ukazno vrstico ausearch in aureport, kot je ta.

# ausearch -p 2678 --raw | aureport -i -f

Kje:

  • --raw -pove ausearch, da dostavi surov vhod v aureport.
  • -f -omogoča poročanje o datotekah in vtičnicah af_unix.
  • -i -omogoča razlago številskih vrednosti v besedilo.

S spodnjim ukazom omejujemo zbrane sistemske klice na tiste, ki so potrebni za analizo uporabe virov procesa df.

# autrace -r /usr/bin/df -h

Ob predpostavki, da ste v zadnjem tednu odobrili program; kar pomeni, da je v revizijskih dnevnikih veliko podatkov. Če želite izdelati poročilo samo za današnje zapise, z zastavico ausearch -ts določite začetni datum/čas iskanja:

# ausearch -ts today -p 2678 --raw | aureport -i -f

To je to! na ta način lahko s pomočjo orodja autrace sledite in pregledujete določene procese Linuxa, za več informacij preverite strani za ljudi.

Preberete lahko tudi te povezane, uporabne vodnike:

  1. Sysdig - Zmogljivo orodje za nadzor sistema in odpravljanje težav za Linux
  2. BCC - orodja za dinamično sledenje za spremljanje zmogljivosti Linuxa, mreženje in drugo
  3. 30 uporabnih primerov ukaza ‘ps Command’ za spremljanje procesov v sistemu Linux
  4. CPUTool - Omejite in nadzirajte uporabo katerega koli procesa v Linuxu CPU
  5. Poiščite najbolj uspešne procese po največji porabi pomnilnika in procesorja v Linuxu

To je vse za zdaj! V spodnjem komentarju lahko postavite kakršna koli vprašanja ali delite mnenja o tem članku. V naslednjem članku bomo opisali, kako konfigurirati PAM (Pluggable Authentication Module) za revizijo vhoda TTY za določene uporabnike CentOS/RHEL.