Si të auditoni procesin Linux duke përdorur 'autrace' në CentOS/RHEL
Ky artikull është seria jonë e vazhdueshme mbi regjistrat e audituar të pyetjeve duke përdorur ausearch dhe gjenerimin e raporteve duke përdorur programin aureport.
Në këtë artikull, ne do të shpjegojmë se si të auditojmë një proces të caktuar duke përdorur programin autrace, ku do të analizojmë një proces duke gjurmuar thirrjet e sistemit që bën një proces.
autrace është një mjet i linjës komanduese që drejton një program derisa të dalë, ashtu si strace; ai shton rregullat e auditimit për të gjurmuar një proces dhe ruan informacionin e auditimit në skedarin /var/www/audit/audit.log. Që të funksionojë (d.m.th. përpara se të ekzekutoni programin e zgjedhur), duhet së pari të fshini të gjitha rregullat ekzistuese të auditimit.
Sintaksa për përdorimin e autrace tregohet më poshtë dhe pranon vetëm një opsion, -r
i cili kufizon thirrjet syske të mbledhura në ato që kërkohen për vlerësimin e përdorimit të burimeve të procesit:
# autrace -r program program-args
Kujdes: Në faqen autrace man, sintaksa si më poshtë, e cila në fakt është një gabim dokumentacioni. Sepse duke përdorur këtë formular, programi që ekzekutoni do të supozojë se po përdorni një nga opsionet e tij të brendshme, duke rezultuar kështu në një gabim ose duke kryer veprimin e paracaktuar të aktivizuar nga opsioni.
# autrace program -r program-args
Nëse keni ndonjë rregull auditimi të pranishëm, autrace tregon gabimin e mëposhtëm.
# autrace /usr/bin/df
Së pari fshini të gjitha rregullat e audituara me komandën e mëposhtme.
# auditctl -D
Pastaj vazhdoni të ekzekutoni autrace me programin tuaj të synuar. Në këtë shembull, ne po gjurmojmë ekzekutimin e komandës df, e cila tregon përdorimin e sistemit të skedarëve.
# autrace /usr/bin/df -h
Nga pamja e mësipërme e ekranit, mund të gjeni të gjitha shënimet e regjistrit që kanë të bëjnë me gjurmimin, nga skedari i regjistrit të auditimit duke përdorur mjetin ausearch si më poshtë.
# ausearch -i -p 2678
Ku opsioni:
-i
– mundëson interpretimin e vlerave numerike në tekst.-p
– kalon ID-në e procesit për t'u kërkuar.
Për të gjeneruar një raport në lidhje me detajet e gjurmës, mund të ndërtoni një linjë komande të ausearch dhe aureport si kjo.
# ausearch -p 2678 --raw | aureport -i -f
Ku:
--raw
– i thotë ausearch-it të japë të dhëna të papërpunuara në aureport.-f
– mundëson raportimin rreth skedarëve dhe prizave af_unix.-i
– lejon interpretimin e vlerave numerike në tekst.
Dhe duke përdorur komandën më poshtë, ne po i kufizojmë sistemet e mbledhura në ato të nevojshme për analizimin e përdorimit të burimeve të procesit df.
# autrace -r /usr/bin/df -h
Duke supozuar se keni autracuar një program për një javë të fundit; që do të thotë se ka shumë informacione të hedhura në regjistrat e auditimit. Për të prodhuar një raport vetëm për të dhënat e sotme, përdorni flamurin e kërkimit -ts
për të specifikuar datën/kohën e fillimit për kërkimin:
# ausearch -ts today -p 2678 --raw | aureport -i -f
Kjo eshte! në këtë mënyrë ju mund të gjurmoni dhe auditoni një proces specifik Linux duke përdorur mjetin autrace, për më shumë informacion kontrolloni faqet e njeriut.
Ju gjithashtu mund të lexoni këto udhëzues të dobishëm të lidhur:
- Sysdig – Një mjet i fuqishëm i monitorimit dhe zgjidhjes së problemeve për Linux
- BCC – Mjetet dinamike të gjurmimit për monitorimin e performancës Linux, rrjetëzimin dhe më shumë
- 30 shembuj të dobishëm 'ps Command' për monitorimin e procesit Linux
- CPUTool – Kufizoni dhe kontrolloni përdorimin e CPU-së të çdo procesi në Linux
- Gjeni proceset kryesore të ekzekutimit sipas përdorimit më të lartë të memories dhe CPU në Linux
Kjo është e gjitha për tani! Ju mund të bëni ndonjë pyetje ose të ndani mendime rreth këtij artikulli përmes komentit nga poshtë. Në artikullin vijues, ne do të përshkruajmë se si të konfigurojmë PAM (Moduli i Autentifikimit të Pluggable) për auditimin e hyrjes TTY për përdoruesit e specifikuar CentOS/RHEL.