Cum să auditați procesul Linux folosind „autrace” pe CentOS/RHEL

Acest articol este seria noastră în curs de desfășurare cu privire la jurnalele de audit și interogări folosind ausearch și generează rapoarte folosind utilitarul aureport.

În acest articol, vom explica cum să audităm un anumit proces folosind utilitarul autrace, unde vom analiza un proces urmărind apelurile de sistem pe care le face un proces.

Ce este autrace?

autrace este un utilitar de linie de comandă care rulează un program până la ieșire, la fel ca strace; adaugă regulile de audit pentru a urmări un proces și salvează informațiile de audit în fișierul /var/www/audit/audit.log. Pentru ca acesta să funcționeze (adică înainte de a rula programul selectat), trebuie mai întâi să ștergeți toate regulile de audit existente.

Sintaxa pentru utilizarea autrace este prezentată mai jos și acceptă o singură opțiune, -r, care limitează apelurile de sistem colectate la cele necesare pentru evaluarea utilizării resurselor procesului:

# autrace -r program program-args

Atenție: în pagina de manual autrace, sintaxa este următoarea, care este de fapt o greșeală de documentare. Deoarece folosind acest formular, programul pe care îl rulați va presupune că utilizați una dintre opțiunile sale interne, rezultând astfel o eroare sau efectuând acțiunea implicită activată de opțiune.

# autrace program -r program-args

Dacă aveți reguli de audit prezente, autrace afișează următoarea eroare.

# autrace /usr/bin/df

Mai întâi ștergeți toate regulile auditd cu următoarea comandă.

# auditctl -D

Apoi continuați să rulați autrace cu programul țintă. În acest exemplu, urmărim execuția comenzii df, care arată utilizarea sistemului de fișiere.

# autrace /usr/bin/df -h

Din captura de ecran de mai sus, puteți găsi toate intrările de jurnal care au legătură cu urmărirea, din fișierul jurnal de audit folosind utilitarul ausearch, după cum urmează.

# ausearch -i -p 2678

Unde opțiunea:

  • -i – permite interpretarea valorilor numerice în text.
  • -p – transmite ID-ul procesului care urmează să fie căutat.

Pentru a genera un raport despre detaliile urmăririi, puteți crea o linie de comandă de ausearch și aureport ca aceasta.

# ausearch -p 2678 --raw | aureport -i -f

Unde:

  • --raw – spune ausearch să livreze input brut către aureport.
  • -f – permite raportarea despre fișiere și socket-uri af_unix.
  • -i – permite interpretarea valorilor numerice în text.

Și folosind comanda de mai jos, limităm apelurile de sistem adunate la cele necesare pentru analizarea utilizării resurselor procesului df.

# autrace -r /usr/bin/df -h

Presupunând că ați trasat un program în ultima săptămână; ceea ce înseamnă că există o mulțime de informații aruncate în jurnalele de audit. Pentru a produce un raport numai pentru înregistrările de astăzi, utilizați indicatorul de căutare -ts pentru a specifica data/ora de începere a căutării:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Asta este! în acest fel, puteți urmări și audita anumite procese Linux folosind instrumentul autrace, pentru mai multe informații, verificați paginile de manual.

De asemenea, puteți citi aceste ghiduri utile și conexe:

  1. Sysdig – Un instrument puternic de monitorizare și depanare a sistemului pentru Linux
  2. BCC – Instrumente de urmărire dinamică pentru monitorizarea performanței Linux, rețele și altele
  3. 30 de exemple utile de „comandă ps” pentru monitorizarea proceselor Linux
  4. CPUTool – Limitați și controlați utilizarea CPU a oricărui proces în Linux
  5. Găsiți cele mai bune procese care rulează după cea mai mare utilizare a memoriei și a procesorului în Linux

Asta este tot pentru acum! Puteți pune orice întrebări sau puteți împărtăși gânduri despre acest articol prin intermediul comentariului de mai jos. În articolul următor, vom descrie cum să configurați PAM (Modul de autentificare conectabil) pentru auditarea intrării TTY pentru utilizatorii specificați CentOS/RHEL.