Come controllare il processo Linux utilizzando "autrace" su CentOS/RHEL

instagram story viewer

Questo articolo è la nostra serie in corso su Auditing Linux, nei nostri ultimi tre articoli abbiamo spiegato come controllare i sistemi Linux (CentOS e RHEL), interrogare i log auditd usando ausearch e generare report utilizzando l'utility aureport.

In questo articolo, spiegheremo come controllare un determinato processo utilizzando autrace utility, dove analizzeremo un processo tracciando le chiamate di sistema effettuate da un processo.

Leggi anche: Come tracciare l'esecuzione dei comandi in Shell Script con Shell Tracing

Cos'è l'autraccia?

autrace è un'utilità della riga di comando che esegue un programma fino alla sua chiusura, proprio come strace; aggiunge le regole di audit per tracciare un processo e salva le informazioni di audit in /var/www/audit/audit.log file. Perché funzioni (cioè prima di eseguire il programma selezionato), devi prima eliminare tutte le regole di controllo esistenti.

La sintassi per l'uso autrace è mostrato di seguito e accetta solo un'opzione, -R che limita le chiamate di sistema raccolte a quelle necessarie per valutare l'utilizzo delle risorse del processo:

# autrace -r programma program-args. 

Attenzione: Nel autrace man, la sintassi come segue, che in realtà è un errore di documentazione. Poiché utilizzando questo modulo, il programma che esegui presupporrà che stai utilizzando una delle sue opzioni interne, risultando in un errore o eseguendo l'azione predefinita abilitata dall'opzione.

# autrace program -r program-args. 

Se sono presenti regole di controllo, autrace mostra il seguente errore.

# autrace /usr/bin/df. 
errore autrace
errore autrace

Eliminare prima tutte le regole auditd con il seguente comando.

# auditctl -D. 

Quindi procedi con l'esecuzione autrace con il tuo programma di destinazione. In questo esempio, stiamo tracciando l'esecuzione di comando df, che mostra l'utilizzo del filesystem.

# autrace /usr/bin/df -h. 
Traccia comando df
Traccia comando df

Dallo screenshot qui sopra, puoi trovare tutte le voci di registro che hanno a che fare con la traccia, dal file di registro di controllo usando utilità di ricerca come segue.

# ausearch -i -p 2678. 

Dove l'opzione:

  • -io – consente l'interpretazione di valori numerici in testo.
  • -P – passa l'ID del processo da cercare.
Rapporto di verifica del comando df
Rapporto di verifica del comando df

Per generare un rapporto sui dettagli della traccia, puoi creare una riga di comando di ricerca e aureport come questo.

# ausearch -p 2678 --raw | aureport -i -f. 

In cui si:

  • --crudo – dice ad ausearch di fornire input non elaborati ad aureport.
  • -F – abilita la segnalazione di file e socket af_unix.
  • -io – consente l'interpretazione di valori numerici in testo.
Genera rapporto di traccia del comando df
Genera rapporto di traccia del comando df

E usando il comando seguente, stiamo limitando le chiamate di sistema raccolte a quelle necessarie per analizzare l'utilizzo delle risorse del processo df.

# autrace -r /usr/bin/df -h. 

Supponendo che tu abbia auttracciato un programma nell'ultima settimana; il che significa che ci sono molte informazioni scaricate nei log di controllo. Per produrre un report solo per i record di oggi, utilizzare il pulsante -ts ausearch flag per specificare la data/ora di inizio della ricerca:

# ausearch -ts oggi -p 2678 --raw | aureport -i -f. 
Genera report di traccia in base al tempo
Genera report di traccia in base al tempo

Questo è tutto! in questo modo puoi tracciare e controllare specifici processi Linux usando autrace strumento, per maggiori informazioni controllare le pagine man.

Puoi anche leggere queste guide utili e correlate:

  1. Sysdig: un potente strumento di monitoraggio e risoluzione dei problemi del sistema per Linux
  2. BCC: strumenti di tracciamento dinamico per il monitoraggio delle prestazioni di Linux, il networking e altro
  3. 30 utili esempi di "comando ps" per il monitoraggio dei processi Linux
  4. CPUTool – Limita e controlla l'utilizzo della CPU di qualsiasi processo in Linux
  5. Trova i migliori processi in esecuzione in base alla memoria più elevata e all'utilizzo della CPU in Linux

È tutto per ora! Puoi porre qualsiasi domanda o condividere pensieri su questo articolo tramite il commento dal basso. Nel prossimo articolo, descriveremo come configurare PAM (Pluggable Authentication Module) per il controllo dell'input TTY per utenti specificati CentOS/RHEL.

Teachs.ru