Autrace gebruiken om Linux-processen te controleren

N
Netooze
31 januari 2020

Het hulpprogramma Autrace is een opdrachtregelcontroleoplossing voor besturingssysteemprocessen die systeemgebeurtenissen registreert. Het wordt gebruikt om belangrijke gebeurtenissen bij te houden, zoals het onverwacht afsluiten van het besturingssysteem, wijzigingen in de netwerkconfiguratie, toegangsrechten voor systeembestanden die worden bewerkt, enzovoort. Met uitzondering van CentOS maakt de applicatie deel uit van het auditd-pakket, dat niet standaard op een Linux-desktop wordt geïnstalleerd.

We zullen u vertellen hoe u een audit kunt uitvoeren op een server waarop Ubuntu Server 18.04 draait.

Voorbereiding

Het hulpprogramma installeren:

sudo apt-get install auditd audispd-plugins

Het proces duurt niet langer dan vier minuten.

De productconfiguratie wordt opgeslagen in het bestand /etc/audit/auditd.conf. Voor het bewerken gebruiken we een teksteditor, zoals Nano of Vi.

Een audit uitvoeren?

In het algemeen ziet de opdracht er als volgt uit:

autrace –r name_program [keys]

name_program - de naam van het product dat wordt gecontroleerd;
toetsen - extra opties beschikbaar voor het hulpprogramma.

De r-toets beperkt de gegevens die door het hulpprogramma worden verzameld. Indien geactiveerd, verzamelt autrace alleen die logs die nodig zijn voor analyse door de gespecificeerde parameters.

Laten we een voorbeeld nemen: het DF-programma bewaakt de bronnen van de bestandsstructuur.

Voer een audit uit voor de service:

sudo autrace -r /bin/df –h

Het hulpprogramma begint met het bewaken van DF-bewerkingen:

Audit Autrace
Schermafbeelding #1. Audit voorbeeld.

Gebruik het ingebouwde logboek om gedetailleerde informatie te bekijken. Het wordt geopend via het ausearch-commando. Afhankelijk van het programma dat wordt gecontroleerd, varieert de syntaxis van de opdracht. In ons voorbeeld in de bovenstaande afbeelding is het rood gemarkeerd.

We typen in de terminal zonder aanhalingstekens:

ausearch –I –p 7946

Als gevolg hiervan verschijnt gedetailleerde informatie over het logboek op de monitor. De syntaxis voor de opdracht ausearch is als volgt:

ausearch –i –p <id>

De id-sleutel is de numerieke waarde van het proces, die beschikbaar is nadat het autrace-commando is aangeroepen.
De schakeloptie -p vertelt het hulpprogramma de identifier waarmee het logboek wordt doorzocht, en de optie -i interpreteert numerieke waarden.

Als gedetailleerde tracering nodig is, gebruiken we een andere syntaxis:

ausearch -p 7946 --raw | aureport -i –f

, waarbij de schakeloptie -f informatie geeft over bestanden en sockets, en de onbewerkte combinatie het formaat van het uitvoerrapport specificeert.

Om informatie afhankelijk van de dag weer te geven, schrijft u:

ausearch -p 7946 --raw | aureport -i -f

Zoals u gemakkelijk kunt zien, is de waarde 7946 de proces-ID die in het voorbeeldartikel wordt gebruikt.

Uw cloudreis beginnen? Zet nu de eerste stap.