Kuidas kontrollida Linuxi protsessi, kasutades CentOS/RHEL-is autrace'i

See artikkel on meie käimasolev seeria päringute auditeerimise logide kohta, kasutades ausearchi ja luues aruandeid aureporti utiliidi abil.

Selles artiklis selgitame, kuidas antud protsessi auditeerida autrace'i utiliidi abil, kus me analüüsime protsessi, jälgides protsessi poolt tehtud kõnesid.

autrace on käsurea utiliit, mis töötab programmi kuni selle väljumiseni, nagu strace; see lisab protsessi jälgimiseks auditireeglid ja salvestab audititeabe faili /var/www/audit/audit.log. Selle toimimiseks (st enne valitud programmi käivitamist) peate kõigepealt kustutama kõik olemasolevad auditireeglid.

Autrace'i kasutamise süntaks on näidatud allpool ja see aktsepteerib ainult ühte valikut -r , mis piirab kogutud süsteemikõnesid protsessi ressursikasutuse hindamiseks vajalikega:

# autrace -r program program-args

Tähelepanu: Autrace man lehel süntaks järgmine, mis on tegelikult dokumenteerimisviga. Kuna selle vormi kasutamisel eeldab teie käitatav programm, et kasutate ühte selle sisemist valikut, mille tulemuseks on tõrge või sooritate suvandi abil lubatud vaiketoimingut.

# autrace program -r program-args

Kui teil on auditi reegleid, kuvab autrace järgmise tõrke.

# autrace /usr/bin/df

Kõigepealt kustutage kõik auditd reeglid järgmise käsuga.

# auditctl -D

Seejärel jätkake autrace'i käivitamist oma sihtprogrammiga. Selles näites jälgime käsu df käivitamist, mis näitab failisüsteemi kasutamist.

# autrace /usr/bin/df -h

Ülaltoodud ekraanipildilt leiate kõik jälgimisega seotud logikirjed auditi logifailist ausearch utiliidi abil järgmiselt.

# ausearch -i -p 2678

Kui võimalus:

  • -i - võimaldab arvväärtusi tekstiks tõlgendada.
  • -p - edastab otsitava protsessi ID.

Jälgimisandmete kohta aruande loomiseks võite luua niimoodi ausearchi ja aurepordi käsurea.

# ausearch -p 2678 --raw | aureport -i -f

Kus:

  • --raw - käsib ausearchil toore sisendi auruporti toimetada.
  • -f - võimaldab aruandeid failide ja af_unixi pesade kohta.
  • -i - võimaldab arvväärtusi tekstiks tõlgendada.

Ja kasutades allolevat käsku, piirame kogutud süsteemikõnesid df-protsessi ressursikasutuse analüüsimiseks vajalikega.

# autrace -r /usr/bin/df -h

Eeldades, et olete viimase nädala programmi automaatse autoriseerimisega; mis tähendab, et auditilogidesse on paigutatud palju teavet. Ainult tänaste kirjete kohta aruande koostamiseks kasutage lipu -ts ausearch määramiseks otsingu alguskuupäev/-aeg:

# ausearch -ts today -p 2678 --raw | aureport -i -f

See on kõik! Nii saate autrace tööriista abil jälgida ja auditeerida konkreetset Linuxi protsessi, lisateabe saamiseks kontrollige man-lehti.

Võite lugeda ka neid seotud kasulikke juhendeid:

  1. Sysdig - võimas süsteemi jälgimise ja tõrkeotsingu tööriist Linuxile
  2. BCC - dünaamilised jälgimistööriistad Linuxi jõudluse jälgimiseks, võrgu loomiseks ja muuks
  3. 30 kasulikku näidet „ps Command” Linuxi protsesside jälgimiseks
  4. CPUTool - mis tahes protsessori kasutamise piiramine ja kontrollimine Linuxis
  5. Leidke Linuxis kõige paremini töötavad protsessid suurima mälu ja protsessori kasutamise järgi

Praeguseks kõik! Allpool oleva kommentaari kaudu saate selle artikli kohta küsimusi esitada või mõtteid jagada. Järgmises artiklis kirjeldame, kuidas PAM-i (Pluggable Authentication Module) konfigureerida TTY sisendi kontrollimiseks määratud kasutajatele CentOS/RHEL.