Hvernig á að endurskoða Linux ferli með því að nota „autrace“ á CentOS/RHEL


Þessi grein er áframhaldandi röð okkar um endurskoðunarskrár fyrirspurna með því að nota ausearch og búa til skýrslur með því að nota aureport gagnsemi.

Í þessari grein munum við útskýra hvernig á að endurskoða tiltekið ferli með því að nota autrace gagnsemi, þar sem við munum greina ferli með því að rekja kerfissímtöl sem ferli gerir.

autrace er skipanalínuforrit sem keyrir forrit þar til það hættir, alveg eins og strace; það bætir við endurskoðunarreglunum til að rekja ferli og vistar endurskoðunarupplýsingarnar í /var/www/audit/audit.log skránni. Til að það virki (þ.e. áður en valið forrit er keyrt), verður þú fyrst að eyða öllum núverandi endurskoðunarreglum.

Setningafræðin fyrir notkun auðkenningar er sýnd hér að neðan og hún samþykkir aðeins einn valmöguleika, -r sem takmarkar kerfisskrár sem safnað er við þær sem þarf til að meta auðlindanotkun ferlisins:

# autrace -r program program-args

Athugið: Á mannsíðu autrace er setningafræðin sem hér segir, sem er í raun skjalamistök. Vegna þess að með því að nota þetta eyðublað mun forritið sem þú keyrir gera ráð fyrir að þú sért að nota einn af innri valkostum þess sem leiðir til villu eða framkvæmir sjálfgefna aðgerð sem valkosturinn gerir kleift.

# autrace program -r program-args

Ef einhverjar endurskoðunarreglur eru til staðar sýnir autrace eftirfarandi villu.

# autrace /usr/bin/df

Eyddu fyrst öllum endurskoðuðum reglum með eftirfarandi skipun.

# auditctl -D

Haltu síðan áfram að keyra autrace með markforritinu þínu. Í þessu dæmi erum við að rekja framkvæmd df skipunarinnar, sem sýnir notkun skráakerfisins.

# autrace /usr/bin/df -h

Á skjámyndinni hér að ofan geturðu fundið allar færslur sem tengjast rekningunni, úr endurskoðunarskránni með því að nota ausearch tólið sem hér segir.

# ausearch -i -p 2678

Þar sem valmöguleikinn:

  • -i – gerir kleift að túlka tölugildi í texta.
  • -p – sendir vinnsluauðkennið sem á að leita að.

Til að búa til skýrslu um rakningarupplýsingarnar geturðu smíðað skipanalínu af ausearch og aureport eins og þessari.

# ausearch -p 2678 --raw | aureport -i -f

Hvar:

  • --raw – segir ausearch að skila hráefni til aureport.
  • -f – gerir kleift að tilkynna um skrár og af_unix tengi.
  • -i – gerir kleift að túlka tölugildi í texta.

Og með því að nota skipunina hér að neðan erum við að takmarka kerfisvalin sem safnað er við þau sem þarf til að greina auðlindanotkun df ferlisins.

# autrace -r /usr/bin/df -h

Að því gefnu að þú hafir sent forrit fyrir síðustu viku; sem þýðir að það er mikið af upplýsingum varpað í endurskoðunarskrárnar. Til að búa til skýrslu fyrir færslur í dag, notaðu -ts ausearch fána til að tilgreina upphafsdag/tíma leitar:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Það er það! þannig geturðu rakið og endurskoðað tiltekið Linux ferli með því að nota autrace tól, fyrir frekari upplýsingar skoðaðu man síður.

Þú getur líka lesið út þessar tengdu, gagnlegu leiðbeiningar:

  1. Sysdig – Öflugt kerfiseftirlits- og bilanaleitartæki fyrir Linux
  2. BCC – Dynamic Tracing Tools fyrir Linux árangurseftirlit, netkerfi og fleira
  3. 30 Gagnleg 'ps Command' dæmi fyrir Linux ferli eftirlit
  4. CPUTool – Takmarka og stjórna CPU-notkun hvers ferlis í Linux
  5. Finndu helstu ferla í gangi eftir mestu minni og örgjörvanotkun í Linux

Það er allt í bili! Þú getur spurt hvaða spurninga sem er eða deilt hugsunum um þessa grein í gegnum athugasemdina hér að neðan. Í næstu grein munum við lýsa hvernig á að stilla PAM (Pluggable Authentication Module) fyrir endurskoðun á TTY inntak fyrir tilgreinda notendur CentOS/RHEL.