Jak kontrolować proces Linux za pomocą „Autrace” na CentOS/RHEL

Ten artykuł to nasza bieżąca seria audytu Linux, w naszych trzech ostatnich artykułach wyjaśniliśmy, jak kontrolować systemy Linux (Centos I Rhel;.

W tym artykule wyjaśnimy, jak kontrolować dany proces za pomocą AUTRACE użyteczność, w której przeanalizujemy proces, śledząc system wywołujący proces.

Przeczytaj także: Jak śledzić wykonywanie poleceń w skrypcie powłoki z śledzeniem powłoki

Co to jest Autrace?

AUTRACE to narzędzie wiersza poleceń, które uruchamia program, dopóki nie wyjdzie, tak jak Strace; Dodaje reguły audytu, aby prześledzić proces i zapisuje informacje o audycie /var/www/audyt/audyt.dziennik plik. Do pracy (ja.e Przed uruchomieniem wybranego programu) musisz najpierw usunąć wszystkie istniejące zasady audytu.

Składnia do używania AUTRACE pokazano poniżej i akceptuje tylko jedną opcję, -R który ogranicza syscally zebrane do tych wymaganych do oceny wykorzystania zasobów procesu:

# argaty programowe autrace -r 

Uwaga: W AUTRACE Strona Man, składnia w następujący sposób, co w rzeczywistości jest błędem dokumentacji. Ponieważ używając tego formularza, uruchomiony program zakłada, że ​​używasz jednej z jego wewnętrznej opcji, co spowoduje błąd lub wykonując domyślną akcję włączoną przez opcję.

# Autrace Program -r ARG -Args 

Jeśli masz jakieś zasady audytu, AUTRACE pokazuje następujący błąd.

# autrace/usr/bin/df 

Najpierw usuń wszystkie reguły Auditd za pomocą następującego polecenia.

# auditctl -d 

Następnie przejdź do biegania AUTRACE z programem docelowym. W tym przykładzie śledzimy wykonanie polecenia DF, które pokazuje użycie systemu plików.

# autrace/usr/bin/df -h 

Z powyższego zrzutu zrzutu ekranu można znaleźć wszystkie wpisy dziennika, które można zrobić z śledzeniem, z pliku dziennika audytu za pomocą narzędzia AUSearch w następujący sposób.

# ausearch -i -p 2678 

Gdzie opcja:

• -I - umożliwia interpretację wartości liczbowych do tekstu.
• -P - przekazuje identyfikator procesu do przeszukania.

Aby wygenerować raport o szczegółach śledzenia, możesz zbudować wiersz poleceń Ausearch I Aureport lubię to.

# Ausearch -p 2678 -RAW | aureport -i -f 

Gdzie:

• --surowy - mówi Ausearch, aby dostarczył surowy dane wejściowe do Aureport.
• -F - umożliwia raportowanie o plikach i gniazdach AF_Unix.
• -I - umożliwia interpretację wartości liczbowych do tekstu.

Korzystając z poniższego polecenia, ograniczamy Syscalls zebrane do tych potrzebnych do analizy wykorzystania zasobów procesu DF.

# autrace -r/usr/bin/df -h 

Zakładając, że przez ostatnie tydzień złożyłeś program przez ostatnie tydzień; co oznacza, że ​​w dziennikach audytu jest wiele informacji. Aby stworzyć raport tylko dla dzisiejszych rekordów, skorzystaj z -TS Flaga Ausearch, aby określić datę/godzinę rozpoczęcia wyszukiwania:

# ausearch -ts dzisiaj -p 2678 - -RAW | aureport -i -f 

Otóż ​​to! W ten sposób możesz prześledzić i audytować specyficzny proces Linux za pomocą AUTRACE narzędzie, aby uzyskać więcej informacji, sprawdź strony człowieka.

Możesz także odczytać te powiązane, przydatne przewodniki:

1. Sysdig - potężne narzędzie do monitorowania systemu i rozwiązywania problemów dla Linux
2. BCC - Dynamiczne narzędzia śledzenia do monitorowania wydajności Linux, sieci i innych
3. 30 Przydatne przykłady komendy „PS” do monitorowania procesu Linux
4. CUPTOOOL - Limit i kontrolowanie wykorzystania procesora dowolnego procesu w Linux
5. Znajdź najwyższe procesy uruchomione przez najwyższe zużycie pamięci i procesora w Linux

To wszystko na teraz! Możesz zadawać wszelkie pytania lub dzielić się przemyśleniami na temat tego artykułu za pośrednictwem komentarza z dołu. W następnym artykule opiszemy, jak skonfigurować PAM (moduł uwierzytelniania wtyczki) do audytu wejścia TTY dla określonych użytkowników Centos/RhEL.