Com auditar el procés de Linux mitjançant autrace a CentOS/RHEL

Aquest article és la nostra sèrie en curs sobre consultes de registres d'auditoria mitjançant ausearch i generar informes mitjançant la utilitat aureport.

En aquest article, explicarem com auditar un procés determinat mitjançant la utilitat autrace, on analitzarem un procés rastrejant les trucades del sistema que fa un procés.

autrace és una utilitat de línia d'ordres que executa un programa fins que surt, igual que strace; afegeix les regles d'auditoria per rastrejar un procés i desa la informació d'auditoria al fitxer /var/www/audit/audit.log. Perquè funcioni (és a dir, abans d'executar el programa seleccionat), primer heu d'eliminar totes les regles d'auditoria existents.

La sintaxi per utilitzar autrace es mostra a continuació i només accepta una opció, -r, que limita les trucades de sistema recopilades a les necessàries per avaluar l'ús dels recursos del procés:

# autrace -r program program-args

Atenció: a la pàgina de manual d'autrace, la sintaxi és la següent, que en realitat és un error de documentació. Com que utilitzant aquest formulari, el programa que executeu suposarà que esteu utilitzant una de les seves opcions internes, donant lloc a un error o realitzant l'acció predeterminada habilitada per l'opció.

# autrace program -r program-args

Si teniu alguna regla d'auditoria present, autrace mostra l'error següent.

# autrace /usr/bin/df

Primer suprimiu totes les regles auditd amb l'ordre següent.

# auditctl -D

A continuació, procediu a executar autrace amb el vostre programa objectiu. En aquest exemple, estem rastrejant l'execució de l'ordre df, que mostra l'ús del sistema de fitxers.

# autrace /usr/bin/df -h

A la captura de pantalla anterior, podeu trobar totes les entrades de registre relacionades amb el rastre, des del fitxer de registre d'auditoria mitjançant la utilitat ausearch de la següent manera.

# ausearch -i -p 2678

On l'opció:

  • -i: permet la interpretació de valors numèrics en text.
  • -p: passa l'ID del procés que cal cercar.

Per generar un informe sobre els detalls de la traça, podeu crear una línia d'ordres d'ausearch i aureport com aquesta.

# ausearch -p 2678 --raw | aureport -i -f

On:

  • --raw: diu a ausearch que proporcioni entrada en brut a aureport.
  • -f: permet informar sobre fitxers i sockets af_unix.
  • -i: permet interpretar valors numèrics en text.

I utilitzant l'ordre següent, estem limitant les crides de sistema reunides a les necessàries per analitzar l'ús dels recursos del procés df.

# autrace -r /usr/bin/df -h

Suposant que heu traçat un programa durant l'última setmana; és a dir, hi ha molta informació abocada als registres d'auditoria. Per produir un informe només per als registres d'avui, utilitzeu el senyalador de cerca -ts per especificar la data/hora d'inici de la cerca:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Això és! D'aquesta manera, podeu rastrejar i auditar processos específics de Linux mitjançant l'eina d'atraça, per obtenir més informació, consulteu les pàgines de manual.

També podeu llegir aquestes guies útils relacionades:

  1. Sysdig: una potent eina de supervisió i resolució de problemes del sistema per a Linux
  2. BCC: eines de seguiment dinàmic per a la supervisió del rendiment de Linux, xarxes i més
  3. 30 exemples útils d'ordres ps per a la supervisió de processos de Linux
  4. CPUTool: limita i controla l'ús de la CPU de qualsevol procés a Linux
  5. Cerca els processos que s'executen amb major ús de memòria i CPU a Linux

Això és tot per ara! Podeu fer qualsevol pregunta o compartir idees sobre aquest article mitjançant el comentari de sota. Al següent article, descriurem com configurar PAM (Mòdul d'autenticació connectable) per a l'auditoria de l'entrada TTY per a usuaris especificats CentOS/RHEL.