Kuinka tarkastaa Linux-prosessi käyttämällä "autracea" CentOS/RHEL:ssä

Tämä artikkeli on meneillään oleva Linux Auditing -sarjamme. Kolmessa viimeisessä artikkelissamme olemme selostaneet Linux-järjestelmien (CentOS ja RHEL) auditoimista, tarkastettujen lokien kyselyä ausearchin avulla ja luomista. raportoi aureport-apuohjelmalla.

Tässä artikkelissa selitämme, kuinka tietty prosessi auditoidaan autrace-apuohjelmalla, jossa analysoimme prosessia jäljittämällä prosessin tekemiä järjestelmäkutsuja.

Lue myös: komentojen suorittamisen jäljittäminen Shell-skriptissä Shell Tracingin avulla

Mikä on autrace?

autrace on komentorivityökalu, joka ajaa ohjelmaa sen sulkeutumiseen asti, aivan kuten strace; se lisää valvontasäännöt prosessin jäljittämiseksi ja tallentaa tarkastustiedot /var/www/audit/audit.log-tiedostoon. Jotta se toimisi (eli ennen valitun ohjelman suorittamista), sinun on ensin poistettava kaikki olemassa olevat valvontasäännöt.

Alla näkyy autracen-käytön syntaksi, ja se hyväksyy vain yhden vaihtoehdon, -r, joka rajoittaa kerätyt syscalls -kutsut sellaisiin, joita tarvitaan prosessin resurssien käytön arvioimiseksi:

autrace -r program program-args

Huomio: autrace-man-sivulla syntaksi seuraavalla tavalla, mikä on itse asiassa dokumentaatiovirhe. Koska käytät tätä lomaketta, suorittamasi ohjelma olettaa, että käytät jotakin sen sisäisistä vaihtoehdoista, mikä johtaa virheeseen tai vaihtoehdon salliman oletustoiminnon suorittamiseen.

autrace program -r program-args

Jos sinulla on valvontasääntöjä, autrace näyttää seuraavan virheen.

autrace /usr/bin/df

Poista ensin kaikki auditd-säännöt seuraavalla komennolla.

auditctl -D

Suorita sitten autrace kohdeohjelmallasi. Tässä esimerkissä seuraamme df-komennon suorittamista, joka näyttää tiedostojärjestelmän käytön.

autrace /usr/bin/df -h

Yllä olevasta kuvakaappauksesta löydät kaikki jäljitykseen liittyvät lokimerkinnät tarkastuslokitiedostosta käyttämällä ausearch-apuohjelmaa seuraavasti.

ausearch -i -p 2678

Missä vaihtoehto:

  • -i – mahdollistaa numeeristen arvojen tulkitsemisen tekstiksi.
  • -p – välittää haettavan prosessitunnuksen.

Voit luoda raportin jäljitystiedoista rakentamalla komentorivin ausearch ja aureport.

ausearch -p 2678 --raw | aureport -i -f

Missä :

  • --raw – käskee ausearchia toimittamaan raakasyötteen aureporttiin.
  • -f – mahdollistaa tiedostojen ja af_unix-sockettien raportoinnin.
  • -i – mahdollistaa numeeristen arvojen tulkinnan tekstiksi.

Ja käyttämällä alla olevaa komentoa, rajoitamme kerätyt syscalls niihin, joita tarvitaan df-prosessin resurssien käytön analysointiin.

autrace -r /usr/bin/df -h

Olettaen, että olet katsonut ohjelman viimeisen viikon ajan; Tämä tarkoittaa, että tarkastuslokiin on jätetty paljon tietoa. Jos haluat tuottaa raportin vain tämän päivän tietueista, käytä -ts ausearch-lippua määrittääksesi haun aloituspäivämäärän/-ajan:

ausearch -ts today -p 2678 --raw | aureport -i -f

Se siitä! Tällä tavalla voit jäljittää ja tarkastaa tiettyjä Linux-prosesseja autrace-työkalun avulla. Katso lisätietoja man-sivuilta.

Voit myös lukea nämä aiheeseen liittyvät hyödylliset oppaat:

  1. Sysdig – Tehokas järjestelmän valvonta- ja vianmääritystyökalu Linuxille
  2. BCC – Dynaamiset jäljitystyökalut Linux-suorituskyvyn valvontaan, verkkokäyttöön ja muuhun
  3. 30 hyödyllistä "ps-komento" -esimerkkiä Linux-prosessien valvontaan
  4. CPUTool – Rajoita ja hallitse minkä tahansa prosessin suorittimen käyttöä Linuxissa
  5. Löydä suosituimmat käynnissä olevat prosessit korkeimman muistin ja suorittimen käytön mukaan Linuxissa

Tässä kaikki tältä erää! Voit esittää kysymyksiä tai jakaa ajatuksia tästä artikkelista alla olevan kommentin kautta. Seuraavassa artikkelissa kuvataan, kuinka PAM (Pluggable Authentication Module) määritetään TTY-syötteen tarkastukseen tietyille käyttäjille CentOS/RHEL.