Эта статья - наша постоянная серия по Аудит Linux, в последних трех статьях мы объяснили, как аудит систем Linux (CentOS и RHEL), запрашивать журналы аудита с помощью ausearch и формировать отчеты с помощью утилиты aureport.
В этой статье мы объясним, как проводить аудит данного процесса с помощью Autrace утилита, в которой мы проанализируем процесс, отслеживая системные вызовы, которые делает процесс.
Читайте также: Как отслеживать выполнение команд в сценарии оболочки с помощью трассировки оболочки
Autrace - это утилита командной строки, которая запускает программу до ее завершения, как и Strace; он добавляет правила аудита для отслеживания процесса и сохраняет информацию аудита в /var/www/audit/audit.log файл. Чтобы он работал (то есть перед запуском выбранной программы), вы должны сначала удалить все существующие правила аудита.
Синтаксис использования Autrace показан ниже, и он принимает только один вариант, -р
который ограничивает собираемые системные вызовы до тех, которые необходимы для оценки использования ресурсов процессом:
# autrace -r программа program-args.
Внимание: В Autrace На странице руководства используется следующий синтаксис, что на самом деле является ошибкой документации. Поскольку при использовании этой формы программа, которую вы запускаете, будет предполагать, что вы используете одну из ее внутренних опций, что приведет к ошибке или выполнению действия по умолчанию, разрешенного этой опцией.
# autrace program -r program-args.
Если у вас есть какие-либо правила аудита, Autrace показывает следующую ошибку.
# autrace / usr / bin / df.
Сначала удалите все правила auditd с помощью следующей команды.
# auditctl -D.
Затем приступайте к запуску Autrace с вашей целевой программой. В этом примере мы отслеживаем выполнение команда df, который показывает использование файловой системы.
# autrace / usr / bin / df -h.
На скриншоте выше вы можете найти все записи журнала, связанные с трассировкой, из файла журнала аудита, используя утилита ausearch следующее.
# ausearch -i -p 2678.
Где вариант:
-я
- позволяет преобразовывать числовые значения в текст.-п
- передает идентификатор процесса для поиска.Чтобы создать отчет о деталях трассировки, вы можете создать командную строку ausearch. и Aureport нравится.
# ausearch -p 2678 --raw | aureport -i -f.
Где:
--сырой
- сообщает ausearch о необходимости доставки необработанного ввода в aureport.-f
- включает отчеты о файлах и сокетах af_unix.-я
- позволяет интерпретировать числовые значения в текст.Используя команду ниже, мы ограничиваем собираемые системные вызовы до тех, которые необходимы для анализа использования ресурсов процессом df.
# autrace -r / usr / bin / df -h.
Предполагая, что вы запускали программу за последнюю неделю; Это означает, что в журналы аудита сбрасывается много информации. Чтобы создать отчет только по сегодняшним записям, используйте -ts
флаг ausearch, чтобы указать дату / время начала поиска:
# ausearch -ts сегодня -p 2678 --raw | aureport -i -f.
Вот и все! таким образом вы можете отслеживать и проверять конкретный процесс Linux, используя Autrace инструмент, для получения дополнительной информации проверьте страницы руководства.
Вы также можете прочитать эти полезные руководства по теме:
На этом пока все! Вы можете задать любые вопросы или поделиться мыслями об этой статье в комментариях ниже. В следующей статье мы опишем, как настроить PAM (Pluggable Authentication Module) для аудита ввода TTY для указанных пользователей CentOS / RHEL.