CentOS/RHEL-de “autrace” ulanyp, Linux prosesini nädip barlamaly

Bu makala gözleg gözlegini ulanyp, aureport kömekçi programmasyny ulanyp hasabat taýýarlamak üçin yzygiderli barlag ýazgylary boýunça dowam edýän seriýamyz.

Bu makalada, awtras enjamyny ulanyp, berlen prosesi nädip barlamalydygyny düşündireris, bu ýerde ulgamyň çagyryşlaryny yzarlamak arkaly bir prosesi seljereris.

“autrace”, edil setir ýaly, bir programma çykýança işleýän buýruk setiri; prosesi yzarlamak üçin audit düzgünlerini goşýar we audit maglumatyny /var/www/audit/audit.log faýlynda saklaýar. Işlemegi üçin (ýagny saýlanan programmany işletmezden ozal) ilki bilen bar bolan audit düzgünlerini pozmaly.

Awtras ulanmak üçin sintaksis aşakda görkezilýär we ol diňe bir kod, -r opsiýany kabul edýär, bu prosessiň çeşme ulanylyşyna baha bermek üçin ýygnalan ulgamlary çäklendirýär:

# autrace -r program program-args

Üns beriň: Awtras adam sahypasynda sintaksis aşakdaky ýaly, aslynda resminama ýalňyşlygy. Sebäbi bu formany ulanmak bilen, işleýän programmaňyz, içerki opsiýadan birini ulanýandygyňyzy çaklaýar, şeýlelik bilen ýalňyşlyk ýüze çykýar ýa-da opsiýa bilen işledilen deslapky hereketi ýerine ýetirýär.

# autrace program -r program-args

Barlag düzgünleriňiz bar bolsa, awtras aşakdaky ýalňyşlygy görkezýär.

# autrace /usr/bin/df

Ilki bilen aşakdaky buýruk bilen ähli audit düzgünlerini pozuň.

# auditctl -D

Soňra maksatly programmaňyz bilen awtras işlemäge dowam ediň. Bu mysalda, faýl ulgamynyň ulanylyşyny görkezýän df buýrugynyň ýerine ýetirilişini yzarlaýarys.

# autrace /usr/bin/df -h

Aboveokardaky skrinshotdan, yz bilen baglanyşykly ähli ýazgy ýazgylaryny, gözleg kömekçi faýlyndan aşakdaky ýaly gözleg logiki faýlyndan tapyp bilersiňiz.

# ausearch -i -p 2678

Nirede wariant:

  • -i - san bahalaryny tekste düşündirmäge mümkinçilik berýär.
  • -p - gözlenmeli amal ID-den geçýär.

Yz jikme-jiklikleri barada hasabat döretmek üçin gözleg we aureport ýaly buýruk setirini döredip bilersiňiz.

# ausearch -p 2678 --raw | aureport -i -f

Nirede:

  • --raw - aureporta çig girişi ibermegi gözleýär.
  • -f - faýllar we af_unix rozetkalary barada hasabat bermäge mümkinçilik berýär.
  • -i - san bahalaryny tekste düşündirmäge mümkinçilik berýär.

Aşakdaky buýrugy ulanyp, df prosesiniň çeşme ulanylyşyny seljermek üçin zerur bolan ýygnanan ulgamlary çäklendirýäris.

# autrace -r /usr/bin/df -h

Soňky bir hepdäniň dowamynda bir programma ýazdyňyz öýdýän; audit surnallaryna taşlanan köp maglumatyň bardygyny aňladýar. Diňe şu günki ýazgylar üçin hasabat taýýarlamak üçin gözlegiň başlanýan senesini/wagtyny kesgitlemek üçin -ts gözleg baýdagyny ulanyň:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Bu! Şeýlelik bilen, adam sahypalaryny has giňişleýin maglumat üçin autrace guralyny ulanyp, belli bir Linux prosesini yzarlap we gözegçilikde saklap bilersiňiz.

Şeýle hem bu baglanyşykly, peýdaly gollanmalary okap bilersiňiz:

  1. Sysdig - Linux üçin güýçli ulgam gözegçiligi we näsazlyklary düzetmek guraly
  2. BCC - Linux öndürijiligine gözegçilik, tor we ş.m. üçin dinamiki gözleg gurallary
  3. 30 Linux prosessine gözegçilik etmek üçin peýdaly “ps buýrugy” mysallary
  4. CPUTool - Linux-da islendik prosessiň ulanylmagyny çäklendiriň we gözegçilikde saklaň
  5. Linux-da iň ýokary ýat we CPU ulanylyşy boýunça iň ýokary işleýiş amallaryny tapyň

Bularyň hemmesi häzirlikçe! Aşakdaky teswiriň üsti bilen islendik sorag berip ýa-da bu makala hakda pikir paýlaşyp bilersiňiz. Indiki makalada, kesgitlenen ulanyjylar üçin CentOS/RHEL üçin TTY girişini barlamak üçin PAM (Pluggable Autentifikasiýa Moduly) nädip sazlamalydygyny düşündireris.