Kako izvršiti reviziju Linux procesa koristeći 'autrace' na CentOS/RHEL-u
Ovaj članak je naša stalna serija o reviziji Linuxa, u naša posljednja tri članka objasnili smo kako revidirati Linux sisteme (CentOS i RHEL), postavljati upite auditd logovima koristeći ausearch i generirati izvještaje koristeći aureport uslužni program.
U ovom članku ćemo objasniti kako izvršiti reviziju datog procesa pomoću autrace uslužnog programa, gdje ćemo analizirati proces praćenjem sistemskih poziva koji proces čini.
Pročitajte također: Kako pratiti izvršenje naredbi u shell skriptu pomoću shell tracing-a
Šta je autrac?
autrace je uslužni program komandne linije koji pokreće program dok ne izađe, baš kao i strace; dodaje pravila revizije za praćenje procesa i sprema informacije revizije u datoteku /var/www/audit/audit.log. Da bi funkcionirao (tj. prije pokretanja odabranog programa), prvo morate izbrisati sva postojeća pravila revizije.
Sintaksa za korištenje autrace je prikazana ispod i prihvata samo jednu opciju, -r
koja ograničava prikupljene sistemske pozive na one potrebne za procjenu korištenja resursa u procesu:
autrace -r program program-args
Pažnja: U man stranici autrace, sintaksa je kako slijedi, što je zapravo greška u dokumentaciji. Budući da će korištenjem ovog obrasca program koji pokrenete pretpostaviti da koristite jednu od njegovih internih opcija, što će rezultirati greškom ili izvođenjem zadane radnje omogućene opcijom.
autrace program -r program-args
Ako imate bilo kakva pravila revizije, autrace prikazuje sljedeću grešku.
autrace /usr/bin/df
Prvo obrišite sva auditd pravila sa sljedećom naredbom.
auditctl -D
Zatim nastavite s pokretanjem autrace sa vašim ciljnim programom. U ovom primjeru pratimo izvršenje naredbe df, koja pokazuje korištenje sistema datoteka.
autrace /usr/bin/df -h
Na gornjoj slici ekrana, možete pronaći sve unose dnevnika koji se odnose na praćenje, iz datoteke evidencije revizije koristeći uslužni program ausearch kako slijedi.
ausearch -i -p 2678
Gdje je opcija:
-i
– omogućava interpretaciju numeričkih vrijednosti u tekst.-p
– prosljeđuje ID procesa koji se traži.
Da biste generirali izvještaj o detaljima praćenja, možete napraviti komandnu liniju ausearch i aureport poput ove.
ausearch -p 2678 --raw | aureport -i -f
gdje:
--raw
– govori ausearch-u da isporuči sirovi ulaz u aureport.-f
– omogućava izvještavanje o datotekama i af_unix utičnicama.-i
– omogućava tumačenje numeričkih vrijednosti u tekst.
I koristeći naredbu u nastavku, ograničavamo prikupljene sistemske pozive na one potrebne za analizu korištenja resursa df procesa.
autrace -r /usr/bin/df -h
Pod pretpostavkom da ste autorizirali program za posljednju sedmicu; što znači da je mnogo informacija bačeno u dnevnike revizije. Za izradu izvještaja samo za današnje zapise, koristite oznaku -ts
ausearch za navođenje datuma/vremena početka pretraživanja:
ausearch -ts today -p 2678 --raw | aureport -i -f
To je to! na ovaj način možete pratiti i revidirati specifične Linux procese koristeći autrace alat, za više informacija provjerite man stranice.
Također možete pročitati ove povezane, korisne vodiče:
- Sysdig – Snažan alat za praćenje sistema i rješavanje problema za Linux
- BCC – Dinamički alati za praćenje za praćenje performansi Linuxa, umrežavanje i još mnogo toga
- 30 korisnih primjera naredbe ps za praćenje procesa u Linuxu
- CPUTool – Ograničite i kontrolirajte korištenje CPU-a bilo kojeg procesa u Linuxu
- Pronađite najbolje pokrenute procese prema najvećoj upotrebi memorije i CPU-a u Linuxu
To je sve za sada! Možete postaviti bilo kakva pitanja ili podijeliti misli o ovom članku putem komentara ispod. U sljedećem članku ćemo opisati kako konfigurirati PAM (Pluggable Authentication Module) za reviziju TTY ulaza za određene korisnike CentOS/RHEL.