So prüfen Sie den Linux -Prozess mit Autrace auf CentOS/Rhel

Dieser Artikel ist unsere laufende Serie über Linux -Auditing. In unseren letzten drei Artikeln haben wir erklärt, wie man Linux -Systeme prüft (LINUX -Systeme) (Centos Und Rhel), Abfragebodktionen mithilfe von AuSearch und generieren Berichte mit dem Aureport -Dienstprogramm.

In diesem Artikel werden wir erklären, wie ein bestimmter Prozess verwendet wird Autrace Dienstprogramm, bei dem wir einen Prozess analysieren, indem wir das System aufrufen, die einen Prozess machen.

Lesen Sie auch: So verfolgen Sie die Ausführung von Befehlen im Shell -Skript mit Shellverfolgung

Was ist Autrace?

Autrace ist ein Befehlszeilen -Dienstprogramm, das ein Programm ausführt, bis es beendet ist, genau wie Strace; Es fügt die Prüfungsregeln hinzu, um einen Prozess zu verfolgen, und speichert die Prüfungsinformationen in /var/www/audit/prüfung.Protokoll Datei. Damit es funktioniert (ich.e Vor dem Ausführen des ausgewählten Programms müssen Sie zuerst alle vorhandenen Prüfungsregeln löschen.

Die Syntax für die Verwendung Autrace wird unten angezeigt und akzeptiert nur eine Option, -R Die gesetzlichen Symfallien einschränken, die für die Bewertung der Ressourcenverbrauch des Prozesses erforderlich sind:

# AUTRACE -R -Programmprogramm -Args 

Aufmerksamkeit: Im Autrace Mann Seite, die Syntax wie folgt, was eigentlich ein Dokumentationsfehler ist. Da das von Ihnen ausgeführte Programm verwendet wird, wird davon ausgegangen.

# AUTRACE -Programm -r -Programm -Args 

Wenn Sie Prüfungsregeln vorhanden haben, Autrace Zeigt den folgenden Fehler an.

# Autrace/usr/bin/df 

Löschen Sie zuerst alle Prüfungsregeln mit dem folgenden Befehl.

# Auditctl -d 

Dann rennen Sie fort Autrace Mit Ihrem Zielprogramm. In diesem Beispiel verfolgen wir die Ausführung des DF -Befehls, in dem die Verwendung von Dateisystemen verwendet wird.

# autrace/usr/bin/df -h 

Aus dem obigen Screenshot finden Sie alle Protokolleinträge, die mit der Ablaufverfolgung aus der Prüfprotokolldatei mithilfe des Ausersatzprogramms wie folgt zu tun haben.

# AUSEARCH -I -P 2678 

Wo die Option:

• -ich - Ermöglicht die Interpretation numerischer Werte in Text.
• -P - Pässt die zu durchsuchende Prozess -ID.

Um einen Bericht über die Trace -Details zu erstellen, können Sie eine Befehlszeile von erstellen Aussearch Und Aureport so was.

# AUSEARCH -P 2678 -RAW | aurport -i -f 

Wo:

• --roh - fordert Ausearch an, Aureport Roheingaben zu liefern.
• -F - Ermöglicht die Berichterstattung über Dateien und AF_unix -Sockets.
• -ich - Ermöglicht die Interpretation numerischer Werte in Text.

Und mit dem folgenden Befehl begrenzen wir die gesammelten Systemen auf diejenigen, die für die Analyse der Ressourcenverbrauch des DF -Prozesss erforderlich sind.

# autrace -r/usr/bin/df -h 

Angenommen, Sie haben in der letzten Woche ein Programm untergebracht; Das heißt. Verwenden Sie das, um nur einen Bericht für die heutigen Datensätze zu erstellen -ts AuSearch Flag, um das Startdatum/die Zeit für die Suche anzugeben:

# AUSEARCH -TS HEUTE -P 2678 -RAW | aurport -i -f 

Das ist es! Auf diese Weise können Sie einen spezifischen Linux -Prozess mithilfe von Verfolgung und Prüfung verwenden Autrace Tool für weitere Informationen finden Sie in den Seiten.

Sie können diese verwandten, nützlichen Leitfäden auch vorlesen:

1. SYSDIG - Ein leistungsstarkes Systemüberwachungs- und Fehlerbehebungstool für Linux
2. BCC - Dynamische Tracing -Tools für Linux -Leistungsüberwachung, Netzwerk und mehr
3. 30 nützliche Beispiele für den Befehl "PS" für die Linux -Prozessüberwachung
4. CPUTOOL - Grenz- und Steuerelement -Nutzung eines jeden Prozesses unter Linux
5. Finden Sie Top -Laufprozesse nach dem höchsten Speicher und der CPU -Verwendung unter Linux

Das ist alles fürs Erste! Sie können Fragen stellen oder Gedanken zu diesem Artikel über den Kommentar von unten teilen. Im nächsten Artikel werden wir beschreiben, wie PAM (Pluggable Authentication Modul) für die Prüfung der TTY -Eingaben für bestimmte Benutzer CentOS/RHEL konfiguriert wird.