Giunsa ang Pag-audit sa Proseso sa Linux Gamit ang 'autrace' sa CentOS/RHEL

Kini nga artikulo mao ang among nagpadayon nga serye sa mga query auditd log gamit ang ausearch ug paghimo og mga taho gamit ang aureport utility.

Sa kini nga artikulo, among ipasabut kung giunsa ang pag-audit sa usa ka gihatag nga proseso gamit ang autrace utility, diin among analisahon ang usa ka proseso pinaagi sa pagsubay sa mga tawag sa sistema nga gihimo sa usa ka proseso.

Ang autrace usa ka command line utility nga nagpadagan sa usa ka programa hangtod nga kini mogawas, sama sa strace; gidugang niini ang mga lagda sa pag-audit aron masubay ang usa ka proseso ug gitipigan ang kasayuran sa pag-audit sa /var/www/audit/audit.log file. Aron kini molihok (ie sa dili pa modagan ang pinili nga programa), kinahanglan nimo nga papason ang tanan nga naglungtad nga mga lagda sa pag-audit.

Ang syntax alang sa paggamit sa autrace gipakita sa ubos, ug kini modawat lamang sa usa ka opsyon, -r nga naglimite sa mga syscall nga nakolekta ngadto sa gikinahanglan sa pagtimbang-timbang sa paggamit sa kapanguhaan sa proseso:

# autrace -r program program-args

Atensyon: Sa autrace man page, ang syntax ingon sa mosunod, nga sa pagkatinuod usa ka dokumentasyon nga sayop. Tungod kay ang paggamit niini nga porma, ang programa nga imong gipadagan maghunahuna nga imong gigamit ang usa sa internal nga kapilian niini nga moresulta sa usa ka sayup o paghimo sa default nga aksyon nga gipagana sa kapilian.

# autrace program -r program-args

Kung naa kay bisan unsang mga lagda sa pag-audit, gipakita sa autrace ang mosunod nga sayup.

# autrace /usr/bin/df

Una, kuhaa ang tanan nga mga lagda sa pag-audit sa mosunod nga sugo.

# auditctl -D

Dayon ipadayon ang pagpadagan sa autrace sa imong target nga programa. Niini nga pananglitan, among gisubay ang pagpatuman sa df command, nga nagpakita sa paggamit sa filesystem.

# autrace /usr/bin/df -h

Gikan sa screenshot sa ibabaw, imong makit-an ang tanang log entries nga buhaton sa trace, gikan sa audit log file gamit ang ausearch utility sama sa mosunod.

# ausearch -i -p 2678

Kung asa ang opsyon:

  • -i – makapahimo sa paghubad sa numeric values ngadto sa text.
  • -p – ipasa ang process ID nga pangitaon.

Aron makamugna ug report bahin sa mga detalye sa pagsubay, mahimo kang magtukod ug command line sa ausearch ug aureport nga sama niini.

# ausearch -p 2678 --raw | aureport -i -f

diin:

  • --raw – nagsulti sa ausearch sa paghatud sa hilaw nga input sa aureport.
  • -f – makapahimo sa pagtaho bahin sa mga file ug af_unix socket.
  • -i – nagtugot sa paghubad sa numeric values ngadto sa text.

Ug gamit ang sugo sa ubos, gilimitahan namo ang mga syscall nga natigom sa mga gikinahanglan para sa pag-analisar sa paggamit sa kapanguhaan sa proseso sa df.

# autrace -r /usr/bin/df -h

Sa pag-ingon nga ikaw nag-autrace sa usa ka programa sa miaging usa ka semana; nagpasabot nga adunay daghang impormasyon nga gilabay sa audit logs. Para makahimo ug report para lang sa mga rekord karong adlawa, gamita ang -ts ausearch flag aron itakda ang petsa/oras sa pagsugod sa pagpangita:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Mao na! niining paagiha imong masubay ug maaudit ang piho nga proseso sa Linux gamit ang autrace tool, para sa dugang impormasyon susiha ang mga man page.

Mahimo usab nimong basahon kining may kalabotan, mapuslanong mga giya:

  1. Sysdig – Usa ka Gamhanan nga System Monitoring ug Troubleshooting Tool para sa Linux
  2. BCC – Dynamic Tracing Tools para sa Linux Performance Monitoring, Networking ug uban pa
  3. 30 Mapuslanon nga 'ps Command' nga mga Ehemplo alang sa Linux Process Monitoring
  4. CPUTool – Limitahan ug Kontrola ang Paggamit sa CPU sa Bisan unsang Proseso sa Linux
  5. Pangitaa ang Nanguna nga Mga Proseso sa Pagdagan pinaagi sa Labing Taas nga Memorya ug Paggamit sa CPU sa Linux

Kana lang sa pagkakaron! Makapangutana ka ug bisan unsang mga pangutana o magpaambit sa mga hunahuna bahin sa kini nga artikulo pinaagi sa komento gikan sa ubos. Sa sunod nga artikulo, among ihulagway kung giunsa ang pag-configure sa PAM (Pluggable Authentication Module) para sa pag-audit sa input sa TTY alang sa mga piho nga tiggamit CentOS/RHEL.