Zoeken op website

Hoe u het Linux-proces kunt controleren met behulp van 'autrace' op CentOS/RHEL

Dit artikel is onze doorlopende serie over Linux Auditing. In onze laatste drie artikelen hebben we uitgelegd hoe je Linux-systemen (CentOS en RHEL) kunt auditen, auditd-logboeken kunt opvragen met ausearch en hoe je auditd-logboeken kunt opvragen met behulp van ausearch en hoe je rapporteert met behulp van het hulpprogramma aureport.

In dit artikel leggen we uit hoe je een bepaald proces kunt controleren met behulp van het hulpprogramma aurace, waarbij we een proces analyseren door de systeemaanroepen van een proces te traceren.

Lees ook: Hoe u de uitvoering van opdrachten in Shell-script kunt traceren met Shell Tracing

Wat is autrace?

autrace is een commandoregelhulpprogramma dat een programma uitvoert totdat het afsluit, net als strace; het voegt de auditregels toe om een proces te traceren en slaat de auditinformatie op in het bestand /var/www/audit/audit.log. Om het te laten werken (dat wil zeggen voordat u het geselecteerde programma uitvoert), moet u eerst alle bestaande auditregels verwijderen.

De syntaxis voor het gebruik van autrace wordt hieronder weergegeven en accepteert slechts één optie, -r, die de verzamelde systeemaanroepen beperkt tot de aantallen die nodig zijn voor het beoordelen van het bronnengebruik van het proces:

autrace -r program program-args

Let op: in de autrace manpagina is de syntaxis als volgt, wat eigenlijk een documentatiefout is. Omdat u dit formulier gebruikt, gaat het programma dat u uitvoert ervan uit dat u een van de interne opties gebruikt, wat resulteert in een fout of het uitvoeren van de standaardactie die door de optie wordt ingeschakeld.

autrace program -r program-args

Als er auditregels aanwezig zijn, toont autrace de volgende fout.

autrace /usr/bin/df

Verwijder eerst alle auditd-regels met de volgende opdracht.

auditctl -D

Ga vervolgens verder met het uitvoeren van aurace met uw doelprogramma. In dit voorbeeld volgen we de uitvoering van de df-opdracht, die het gebruik van het bestandssysteem laat zien.

autrace /usr/bin/df -h

In de bovenstaande schermafbeelding kunt u als volgt alle loggegevens vinden die met de trace te maken hebben, uit het auditlogbestand met behulp van het ausearch-hulpprogramma.

ausearch -i -p 2678

Waar de optie:

  • -i – maakt het interpreteren van numerieke waarden in tekst mogelijk.
  • -p – geeft de proces-ID door die moet worden doorzocht.

Om een rapport over de traceerdetails te genereren, kunt u op deze manier een opdrachtregel van ausearch en aureport bouwen.

ausearch -p 2678 --raw | aureport -i -f

Waar :

  • --raw – vertelt ausearch om ruwe invoer aan aureport te leveren.
  • -f – maakt rapportage over bestanden en af_unix sockets mogelijk.
  • -i – maakt het mogelijk om numerieke waarden in tekst te interpreteren.

En met behulp van de onderstaande opdracht beperken we de verzamelde systeemaanroepen tot de gegevens die nodig zijn voor het analyseren van het bronnengebruik van het df-proces.

autrace -r /usr/bin/df -h

Ervan uitgaande dat u de afgelopen week een programma heeft gevolgd; wat betekent dat er veel informatie in de auditlogboeken wordt gedumpt. Als u alleen een rapport voor de records van vandaag wilt maken, gebruikt u de ausearch-vlag -ts om de startdatum/-tijd voor het zoeken op te geven:

ausearch -ts today -p 2678 --raw | aureport -i -f

Dat is het! op deze manier kun je specifieke Linux-processen traceren en controleren met behulp van de aurace tool. Voor meer informatie kun je de manpagina's raadplegen.

U kunt ook deze gerelateerde, nuttige handleidingen lezen:

  1. Sysdig - Een krachtig hulpmiddel voor systeemmonitoring en probleemoplossing voor Linux
  2. BCC – Dynamische traceringstools voor Linux-prestatiemonitoring, netwerken en meer
  3. 30 Handige ‘ps Command’-voorbeelden voor Linux-procesmonitoring
  4. CPUTool - Beperk en beheer het CPU-gebruik van elk proces in Linux
  5. Vind de best lopende processen op basis van het hoogste geheugen- en CPU-gebruik in Linux

Dat is het voor nu! U kunt vragen stellen of uw mening over dit artikel delen via de reactie hieronder. In het volgende artikel zullen we beschrijven hoe u PAM (Pluggable Authentication Module) kunt configureren voor het controleren van TTY-invoer voor gespecificeerde gebruikers CentOS/RHEL.