Kako revidirati Linux proces pomoću 'autrace' na CentOS/RHEL

Ovaj je članak naša tekuća serija o upiti dnevnika audita pomoću pretraživanja i generiranja izvješća pomoću uslužnog programa aureport.

U ovom ćemo članku objasniti kako izvršiti reviziju određenog postupka pomoću uslužnog programa autrace, gdje ćemo analizirati postupak praćenjem sistemskih poziva koje postupak čini.

autrace je uslužni program naredbenog retka koji pokreće program dok ne izađe, baš kao i strace; dodaje pravila revizije za praćenje procesa i sprema informacije o reviziji u datoteku /var/www/audit/audit.log. Da bi funkcionirao (tj. Prije pokretanja odabranog programa), prvo morate izbrisati sva postojeća pravila revizije.

Sintaksa korištenja autracea prikazana je u nastavku i prihvaća samo jednu opciju -r koja ograničava prikupljene syscallove na one potrebne za procjenu upotrebe resursa procesa:

# autrace -r program program-args

Pažnja: Na autrace man stranici sintaksa je kako slijedi, što je zapravo pogreška u dokumentaciji. Budući da će pomoću ovog obrasca program koji pokrenete pretpostaviti da upotrebljavate jednu od njegovih internih opcija, što rezultira pogreškom ili izvršavanjem zadane radnje koju opcija omogućuje.

# autrace program -r program-args

Ako su prisutna neka pravila revizije, autrace prikazuje sljedeću pogrešku.

# autrace /usr/bin/df

Prvo izbrišite sva pravila audita sljedećom naredbom.

# auditctl -D

Zatim pokrenite autrace sa svojim ciljnim programom. U ovom primjeru pratimo izvršavanje naredbe df koja prikazuje upotrebu datotečnog sustava.

# autrace /usr/bin/df -h

Na gornjoj snimci zaslona možete pronaći sve zapise dnevnika koji imaju veze s tragom, iz datoteke dnevnika revizije pomoću uslužnog programa ausearch, kako slijedi.

# ausearch -i -p 2678

Gdje je opcija:

  • -i - omogućuje interpretaciju numeričkih vrijednosti u tekst.
  • -p - prosljeđuje ID procesa koji se traži.

Da biste generirali izvješće o detaljima praćenja, možete izgraditi naredbeni redak ausearch i aureport poput ovog.

# ausearch -p 2678 --raw | aureport -i -f

Gdje:

  • --raw - govori pretraživaču da isporuči sirovi unos u aureport.
  • -f - omogućava izvještavanje o datotekama i utičnicama af_unix.
  • -i - omogućuje interpretaciju numeričkih vrijednosti u tekst.

I pomoću naredbe u nastavku ograničavamo prikupljene syscallove na one potrebne za analizu upotrebe resursa procesa df.

# autrace -r /usr/bin/df -h

Pod pretpostavkom da ste izvodili program posljednjih tjedan dana; što znači da je puno podataka bačeno u zapisnike revizije. Da biste izradili izvještaj samo za današnje zapise, upotrijebite zastavicu pretraživanja -ts kako biste odredili datum i vrijeme početka pretraživanja:

# ausearch -ts today -p 2678 --raw | aureport -i -f

To je to! na taj način možete pratiti i revidirati određeni Linux proces pomoću alata autrace, za više informacija provjerite stranice s uputama.

Također možete pročitati ove povezane korisne vodiče:

  1. Sysdig - moćan alat za nadzor i rješavanje problema sustava za Linux
  2. BCC - Alati za dinamičko praćenje za nadzor performansi Linuxa, umrežavanje i još mnogo toga
  3. 30 korisnih primjera "ps naredbe" za nadzor Linux procesa
  4. CPUTool - Ograničite i kontrolirajte upotrebu CPU-a bilo kojeg procesa u Linuxu
  5. Pronađite najbolje pokrenute procese prema najvećoj upotrebi memorije i procesora u Linuxu

To je sve za sada! Možete postaviti bilo koja pitanja ili podijeliti misli o ovom članku putem komentara odozdo. U sljedećem ćemo članku opisati kako konfigurirati PAM (Pluggable Authentication Module) za reviziju TTY ulaza za određene korisnike CentOS/RHEL.