ວິທີການກວດສອບຂະບວນການ Linux ໂດຍໃຊ້ 'autrace' ໃນ CentOS/RHEL

ບົດຂຽນນີ້ແມ່ນຊຸດຂອງພວກເຮົາທີ່ສືບຕໍ່ກ່ຽວກັບບັນທຶກການກວດສອບແບບສອບຖາມໂດຍໃຊ້ ausearch ແລະສ້າງລາຍງານໂດຍໃຊ້ aureport utility.

ໃນບົດຂຽນນີ້, ພວກເຮົາຈະອະທິບາຍວິທີການກວດສອບຂັ້ນຕອນທີ່ໄດ້ຮັບໂດຍການ ນຳ ໃຊ້ປະໂຫຍດຂອງ autrace, ບ່ອນທີ່ພວກເຮົາຈະວິເຄາະຂັ້ນຕອນໂດຍການກວດສອບລະບົບທີ່ເອີ້ນວ່າຂັ້ນຕອນເຮັດ.

autrace ແມ່ນຜົນປະໂຫຍດເສັ້ນຄໍາສັ່ງທີ່ເຮັດວຽກໂປແກຼມຈົນກ່ວາມັນອອກ, ຄືກັບສາຍ; ມັນເພີ່ມກົດລະບຽບການກວດສອບເພື່ອຕິດຕາມຂັ້ນຕອນແລະບັນທຶກຂໍ້ມູນການກວດສອບໃນເອກະສານ /var/www/audit/audit.log. ເພື່ອໃຫ້ມັນເຮັດວຽກ (ຕົວຢ່າງກ່ອນທີ່ຈະເປີດໂປແກຼມທີ່ເລືອກ) ກ່ອນອື່ນ ໝົດ, ທ່ານຕ້ອງລົບລ້າງກົດລະບຽບການກວດສອບທີ່ມີຢູ່ທັງ ໝົດ.

syntax ສຳ ລັບການໃຊ້ autrace ແມ່ນສະແດງຢູ່ຂ້າງລຸ່ມນີ້, ແລະມັນຍອມຮັບພຽງທາງເລືອກ ໜຶ່ງ, -r ທີ່ ຈຳ ກັດ syscalls ທີ່ເກັບ ສຳ ລັບສິ່ງທີ່ ຈຳ ເປັນ ສຳ ລັບການປະເມີນການ ນຳ ໃຊ້ຊັບພະຍາກອນຂອງຂະບວນການ:

# autrace -r program program-args

ເອົາໃຈໃສ່: ໃນ ໜ້າ autrace man, syntax ດັ່ງຕໍ່ໄປນີ້ເຊິ່ງຕົວຈິງແມ່ນຂໍ້ຜິດພາດຂອງເອກະສານ. ເນື່ອງຈາກວ່າການ ນຳ ໃຊ້ແບບຟອມນີ້, ໂປແກຼມທີ່ທ່ານ ດຳ ເນີນການຈະສົມມຸດວ່າທ່ານ ກຳ ລັງໃຊ້ຕົວເລືອກພາຍໃນຂອງມັນດັ່ງນັ້ນຈຶ່ງເຮັດໃຫ້ເກີດຄວາມຜິດພາດຫຼືປະຕິບັດການປະຕິບັດງານແບບເດີມທີ່ເປີດໃຊ້ໂດຍທາງເລືອກ.

# autrace program -r program-args

ຖ້າທ່ານມີກົດລະບຽບການກວດສອບໃດ ໜຶ່ງ ຢູ່ໃນເວລານີ້, ການສະແດງອອກຂໍ້ຜິດພາດດັ່ງຕໍ່ໄປນີ້.

# autrace /usr/bin/df

ທຳ ອິດລົບກົດລະບຽບການກວດສອບທັງ ໝົດ ດ້ວຍ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# auditctl -D

ຫຼັງຈາກນັ້ນ, ດໍາເນີນການດໍາເນີນການ autrace ກັບໂປແກຼມເປົ້າຫມາຍຂອງທ່ານ. ໃນຕົວຢ່າງນີ້, ພວກເຮົາ ກຳ ລັງຕິດຕາມການປະຕິບັດ ຄຳ ສັ່ງ df ເຊິ່ງສະແດງໃຫ້ເຫັນການ ນຳ ໃຊ້ລະບົບແຟ້ມ.

# autrace /usr/bin/df -h

ຈາກພາບ ໜ້າ ຈໍຂ້າງເທິງ, ທ່ານສາມາດຊອກຫາລາຍການບັນທຶກທັງ ໝົດ ທີ່ຕ້ອງເຮັດກ່ຽວກັບຮ່ອງຮອຍ, ຈາກເອກະສານບັນທຶກການກວດສອບໂດຍໃຊ້ປະໂຫຍດຂອງ ausearch ດັ່ງຕໍ່ໄປນີ້.

# ausearch -i -p 2678

ບ່ອນທີ່ທາງເລືອກ:

  • -i - ຊ່ວຍໃຫ້ການແປຄວາມ ໝາຍ ຂອງຕົວເລກເປັນຕົວ ໜັງ ສື.
  • -p - ຜ່ານ ID ຂອງຂັ້ນຕອນທີ່ຕ້ອງໄດ້ຄົ້ນຫາ.

ເພື່ອສ້າງບົດລາຍງານກ່ຽວກັບລາຍລະອຽດຕາມຮອຍ, ທ່ານສາມາດສ້າງເສັ້ນ ຄຳ ສັ່ງຂອງ ausearch ແລະ aureport ເຊັ່ນນີ້.

# ausearch -p 2678 --raw | aureport -i -f

ບ່ອນທີ່:

  • --raw - ບອກ ausearch ໃຫ້ສົ່ງວັດຖຸດິບເຂົ້າໃນ aureport.
  • -f - ຊ່ວຍໃຫ້ການລາຍງານກ່ຽວກັບເອກະສານແລະຊັອກເກັດ af_unix.
  • -i - ຊ່ວຍໃຫ້ການແປຄວາມ ໝາຍ ຂອງຕົວເລກເປັນຂໍ້ຄວາມ.

ແລະການໃຊ້ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້, ພວກເຮົາ ກຳ ລັງ ຈຳ ກັດ syscalls ທີ່ເຕົ້າໂຮມກັບສິ່ງທີ່ ຈຳ ເປັນ ສຳ ລັບການວິເຄາະການ ນຳ ໃຊ້ຊັບພະຍາກອນຂອງຂັ້ນຕອນ df.

# autrace -r /usr/bin/df -h

ສົມມຸດວ່າທ່ານໄດ້ຂຽນໂປຣແກຣມເປັນເວລາ ໜຶ່ງ ອາທິດຜ່ານມາ; ໝາຍ ຄວາມວ່າມີຂໍ້ມູນຫຼາຍຢ່າງທີ່ຖືກຖີ້ມລົງໃນບັນທຶກການກວດສອບ. ເພື່ອຜະລິດບົດລາຍງານ ສຳ ລັບການບັນທຶກພຽງແຕ່ມື້ນີ້, ໃຫ້ໃຊ້ -ts ການຄົ້ນຫາການຄົ້ນຫາເພື່ອ ກຳ ນົດວັນທີ/ເວລາເລີ່ມຕົ້ນ ສຳ ລັບການຄົ້ນຫາ:

# ausearch -ts today -p 2678 --raw | aureport -i -f

ນັ້ນແມ່ນມັນ! ວິທີນີ້ທ່ານສາມາດຕິດຕາມແລະກວດສອບຂັ້ນຕອນສະເພາະຂອງ Linux ໂດຍໃຊ້ເຄື່ອງມື autrace, ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມໃຫ້ກວດເບິ່ງ ໜ້າ man.

ທ່ານຍັງສາມາດອ່ານ ຄຳ ແນະ ນຳ ທີ່ກ່ຽວຂ້ອງແລະເປັນປະໂຫຍດເຫຼົ່ານີ້:

<

  • Sysdig - ເຄື່ອງມືກວດສອບລະບົບທີ່ມີປະສິດທິພາບແລະເຄື່ອງມືແກ້ໄຂບັນຫາ ສຳ ລັບ Linux
  • BCC - ເຄື່ອງມືຄົ້ນຫາແບບເຄື່ອນໄຫວ ສຳ ລັບການກວດສອບການເຮັດວຽກຂອງ Linux, ການສ້າງເຄືອຂ່າຍແລະອື່ນໆ
  • 30 ຕົວຢ່າງ 'ps Command' ທີ່ມີປະໂຫຍດ ສຳ ລັບການກວດສອບຂັ້ນຕອນ Linux
  • CPUTool - ຈຳ ກັດແລະຄວບຄຸມການ ນຳ ໃຊ້ CPU ຂອງຂະບວນການໃດໆໃນ Linux
  • ຊອກຫາຂັ້ນຕອນການແລ່ນທີ່ສຸດໂດຍຄວາມຊົງ ຈຳ ສູງສຸດແລະການ ນຳ ໃຊ້ CPU ໃນ Linux

    • ດຽວນີ້ ໝົດ ແລ້ວ! ທ່ານສາມາດຖາມ ຄຳ ຖາມຫຼືແລກປ່ຽນຄວາມຄິດກ່ຽວກັບບົດຄວາມນີ້ຜ່ານ ຄຳ ເຫັນຈາກຂ້າງລຸ່ມ. ໃນບົດຄວາມຕໍ່ໄປ, ພວກເຮົາຈະອະທິບາຍວິທີການຕັ້ງຄ່າ PAM (ແບບ Plugable Authentication Module) ສຳ ລັບການກວດສອບວັດສະດຸປ້ອນ TTY ສຳ ລັບຜູ້ໃຊ້ທີ່ ກຳ ນົດໄວ້ CentOS/RHEL.