![Kako omogućiti način ColorBlind na računalu sa sustavom Windows 10](/f/ffd0cca2c3998f0f8b3c6048a7af568a.jpg?width=100&height=100)
Ovaj je članak naša serija u tijeku Linux revizija, u naša posljednja tri članka objasnili smo kako to učiniti revizija Linux sustava (CentOS i RHEL), ispitivati dnevnike revizije pomoću ausearch i generirati izvješća pomoću uslužnog programa aureport.
U ovom ćemo članku objasniti kako revizirati dati proces pomoću autrace uslužni program, gdje ćemo analizirati proces praćenjem sistemskih poziva koje proces čini.
Pročitajte također: Kako pratiti izvršavanje naredbi u Shell skripti s Shell Tracingom
autrace je pomoćni program naredbenog retka koji pokreće program dok ne izađe, baš kao i strace; dodaje pravila revizije za praćenje procesa i sprema informacije o reviziji u /var/www/audit/audit.log datoteka. Da bi funkcionirao (tj. Prije pokretanja odabranog programa), morate najprije izbrisati sva postojeća pravila revizije.
Sintaksa za korištenje autrace prikazan je dolje i prihvaća samo jednu opciju, -r
koji ograničava prikupljene sistemske pozive na one potrebne za procjenu upotrebe resursa procesa:
# autrace -r program program -args.
Pažnja: U autrace man page, sintaksa je sljedeća, što je zapravo greška u dokumentaciji. Budući da će pomoću ovog obrasca program koji pokrećete pretpostaviti da koristite jednu od njegovih unutarnjih opcija, što bi rezultiralo pogreškom ili izvršilo zadanu radnju koju omogućuje opcija.
# autrace program -r program -args.
Ako imate prisutna pravila revizije, autrace pokazuje sljedeću pogrešku.
# autrace/usr/bin/df.
Najprije izbrišite sva pravila revizije sa sljedećom naredbom.
# auditctl -D.
Zatim nastavite s trčanjem autrace s vašim ciljnim programom. U ovom primjeru pratimo izvršavanje naredba df, koja prikazuje upotrebu datotečnog sustava.
# autrace/usr/bin/df -h.
Na gornjoj snimci zaslona možete pronaći sve zapise dnevnika koji se odnose na praćenje, iz datoteke dnevnika revizije pomoću ausearch uslužni program kako slijedi.
# ausearch -i -p 2678.
Gdje je opcija:
-i
- omogućuje tumačenje numeričkih vrijednosti u tekst.-str
- prosljeđuje ID procesa za pretraživanje.Da biste generirali izvješće o pojedinostima praćenja, možete izgraditi naredbeni redak ausearch i aureport kao ovo.
# ausearch -p 2678 --raw | aureport -i -f.
Gdje:
-sirovo
- govori ausearchu da isporuči sirove ulazne podatke u aureport.-f
- omogućuje izvješćivanje o datotekama i af_unix utičnicama.-i
- omogućuje tumačenje numeričkih vrijednosti u tekst.Pomoću donje naredbe ograničavamo prikupljene sistemske pozive na one potrebne za analizu korištenja resursa df procesa.
# autrace -r/usr/bin/df -h.
Pod pretpostavkom da ste autorizirali program posljednjih tjedan dana; što znači da je puno podataka izbačeno u zapisnike revizije. Za izradu izvješća samo za današnje zapise upotrijebite -ts
ausearch zastava za navođenje datuma/vremena početka pretraživanja:
# ausearch -ts today -p 2678 --raw | aureport -i -f.
To je to! na ovaj način možete pratiti i provjeravati određene Linux procese pomoću autrace alat, za više informacija provjerite stranice s uputama.
Također možete pročitati ove povezane, korisne vodiče:
To je sve za sada! Možete postaviti bilo kakva pitanja ili podijeliti mišljenja o ovom članku putem donjeg komentara. U sljedećem članku opisat ćemo kako konfigurirati PAM (Pluggable Authentication Module) za reviziju TTY ulaza za određene korisnike CentOS/RHEL.