Kā pārbaudīt Linux procesu, izmantojot “autrace” vietnē CentOS/RHEL


Šis raksts ir mūsu pašreizējā sērija par vaicājumu auditd žurnāliem, izmantojot ausearch, un ziņojumu ģenerēšana, izmantojot aureport lietderību.

Šajā rakstā mēs paskaidrosim, kā auditēt konkrētu procesu, izmantojot autrace utilītu, kur mēs analizēsim procesu, izsekojot sistēmas izsaukumus, kurus process veic.

autrace ir komandrindas utilīta, kas vada programmu, līdz tā iziet, tāpat kā strace; tas pievieno revīzijas noteikumus, lai izsekotu procesu, un saglabā audita informāciju failā /var/www/audit/audit.log. Lai tas darbotos (t.i., pirms izvēlētās programmas palaišanas), vispirms jāizdzēš visi esošie audita noteikumi.

Autrace izmantošanas sintakse ir parādīta zemāk, un tajā tiek pieņemta tikai viena opcija -r , kas ierobežo apkopotos sistēmas zvanus līdz tiem, kas nepieciešami procesa resursu izmantošanas novērtēšanai:

# autrace -r program program-args

Uzmanību: Autrace man lapā sintakse ir šāda, kas faktiski ir dokumentācijas kļūda. Tā kā, izmantojot šo veidlapu, palaistā programma pieņem, ka izmantojat kādu no tās iekšējām opcijām, tādējādi radot kļūdu vai veicot noklusējuma darbību, kuru iespējojusi opcija.

# autrace program -r program-args

Ja jums ir kādi audita kārtulas, autrace parāda šādu kļūdu.

# autrace /usr/bin/df

Vispirms izdzēsiet visus auditd kārtulas ar šādu komandu.

# auditctl -D

Pēc tam turpiniet palaist autrace ar savu mērķa programmu. Šajā piemērā mēs izsekojam komandas df izpildi, kas parāda failu sistēmas lietošanu.

# autrace /usr/bin/df -h

Iepriekš redzamajā ekrānuzņēmumā jūs varat atrast visus žurnāla ierakstus, kas saistīti ar izsekošanu, no audita žurnāla faila, izmantojot ausearch lietderību šādi.

# ausearch -i -p 2678

Ja iespēja:

  • -i - ļauj skaitliskas vērtības interpretēt tekstā.
  • -p - nodod meklējamo procesa ID.

Lai izveidotu pārskatu par izsekošanas detaļām, varat izveidot komandrindu ausearch un aureport līdzīgi šim.

# ausearch -p 2678 --raw | aureport -i -f

Kur:

  • --raw - liek ausearch piegādāt neapstrādātu ievadu aureport.
  • -f - ļauj ziņot par failiem un af_unix ligzdām.
  • -i - ļauj skaitliskas vērtības interpretēt tekstā.

Izmantojot zemāk esošo komandu, mēs ierobežojam apkopotos sistēmas zvanus līdz tiem, kas nepieciešami, lai analizētu df procesa resursu izmantošanu.

# autrace -r /usr/bin/df -h

Pieņemot, ka esat autraced programmu pēdējās vienas nedēļas laikā; kas nozīmē, ka revīzijas žurnālos ir daudz informācijas. Lai izveidotu pārskatu tikai par šodienas ierakstiem, izmantojiet karodziņu -ts ausearch, lai norādītu meklēšanas sākuma datumu/laiku:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Tieši tā! šādā veidā jūs varat izsekot un auditēt konkrētu Linux procesu, izmantojot automātiskās meklēšanas rīku, lai iegūtu vairāk informācijas, pārbaudiet rokasgrāmatas lapas.

Varat arī izlasīt šīs saistītās, noderīgās rokasgrāmatas:

  1. Sysdig - jaudīgs sistēmas uzraudzības un problēmu novēršanas rīks Linux
  2. BCC - dinamiskās izsekošanas rīki Linux veiktspējas pārraudzībai, tīklošanai un citur
  3. 30 noderīgi “ps Command” piemēri Linux procesu pārraudzībai
  4. CPUTool - ierobežojiet un kontrolējiet jebkura procesa procesoru Linux operētājsistēmā
  5. Atrodiet vislabākos procesus pēc vislielākās atmiņas un procesora izmantošanas Linux sistēmā

Tas pagaidām ir viss! Jūs varat uzdot jautājumus vai dalīties domās par šo rakstu, izmantojot komentāru zemāk. Nākamajā rakstā mēs aprakstīsim, kā konfigurēt PAM (Pluggable Authentication Module) TTY ievades auditēšanai norādītajiem lietotājiem CentOS/RHEL.