Kako izvršiti reviziju Linux procesa koristeći 'autrace' na CentOS/RHEL-u

Ovaj članak je naša stalna serija o reviziji Linuxa, u naša posljednja tri članka objasnili smo kako revidirati Linux sisteme (CentOS i RHEL), postavljati upite auditd logovima koristeći ausearch i generirati izvještaje koristeći aureport uslužni program.

U ovom članku ćemo objasniti kako izvršiti reviziju datog procesa pomoću autrace uslužnog programa, gdje ćemo analizirati proces praćenjem sistemskih poziva koji proces čini.

Pročitajte također: Kako pratiti izvršenje naredbi u shell skriptu pomoću shell tracing-a

Šta je autrac?

autrace je uslužni program komandne linije koji pokreće program dok ne izađe, baš kao i strace; dodaje pravila revizije za praćenje procesa i sprema informacije revizije u datoteku /var/www/audit/audit.log. Da bi funkcionirao (tj. prije pokretanja odabranog programa), prvo morate izbrisati sva postojeća pravila revizije.

Sintaksa za korištenje autrace je prikazana ispod i prihvata samo jednu opciju, -r koja ograničava prikupljene sistemske pozive na one potrebne za procjenu korištenja resursa u procesu:

autrace -r program program-args

Pažnja: U man stranici autrace, sintaksa je kako slijedi, što je zapravo greška u dokumentaciji. Budući da će korištenjem ovog obrasca program koji pokrenete pretpostaviti da koristite jednu od njegovih internih opcija, što će rezultirati greškom ili izvođenjem zadane radnje omogućene opcijom.

autrace program -r program-args

Ako imate bilo kakva pravila revizije, autrace prikazuje sljedeću grešku.

autrace /usr/bin/df

Prvo obrišite sva auditd pravila sa sljedećom naredbom.

auditctl -D

Zatim nastavite s pokretanjem autrace sa vašim ciljnim programom. U ovom primjeru pratimo izvršenje naredbe df, koja pokazuje korištenje sistema datoteka.

autrace /usr/bin/df -h

Na gornjoj slici ekrana, možete pronaći sve unose dnevnika koji se odnose na praćenje, iz datoteke evidencije revizije koristeći uslužni program ausearch kako slijedi.

ausearch -i -p 2678

Gdje je opcija:

  • -i – omogućava interpretaciju numeričkih vrijednosti u tekst.
  • -p – prosljeđuje ID procesa koji se traži.

Da biste generirali izvještaj o detaljima praćenja, možete napraviti komandnu liniju ausearch i aureport poput ove.

ausearch -p 2678 --raw | aureport -i -f

gdje:

  • --raw – govori ausearch-u da isporuči sirovi ulaz u aureport.
  • -f – omogućava izvještavanje o datotekama i af_unix utičnicama.
  • -i – omogućava tumačenje numeričkih vrijednosti u tekst.

I koristeći naredbu u nastavku, ograničavamo prikupljene sistemske pozive na one potrebne za analizu korištenja resursa df procesa.

autrace -r /usr/bin/df -h

Pod pretpostavkom da ste autorizirali program za posljednju sedmicu; što znači da je mnogo informacija bačeno u dnevnike revizije. Za izradu izvještaja samo za današnje zapise, koristite oznaku -ts ausearch za navođenje datuma/vremena početka pretraživanja:

ausearch -ts today -p 2678 --raw | aureport -i -f

To je to! na ovaj način možete pratiti i revidirati specifične Linux procese koristeći autrace alat, za više informacija provjerite man stranice.

Također možete pročitati ove povezane, korisne vodiče:

  1. Sysdig – Snažan alat za praćenje sistema i rješavanje problema za Linux
  2. BCC – Dinamički alati za praćenje za praćenje performansi Linuxa, umrežavanje i još mnogo toga
  3. 30 korisnih primjera naredbe ps za praćenje procesa u Linuxu
  4. CPUTool – Ograničite i kontrolirajte korištenje CPU-a bilo kojeg procesa u Linuxu
  5. Pronađite najbolje pokrenute procese prema najvećoj upotrebi memorije i CPU-a u Linuxu

To je sve za sada! Možete postaviti bilo kakva pitanja ili podijeliti misli o ovom članku putem komentara ispod. U sljedećem članku ćemo opisati kako konfigurirati PAM (Pluggable Authentication Module) za reviziju TTY ulaza za određene korisnike CentOS/RHEL.