Jinsi ya Kukagua Mchakato wa Linux Kwa Kutumia 'autrace' kwenye CentOS/RHEL

Makala haya ni mfululizo wetu unaoendelea kuhusu kumbukumbu zilizokaguliwa za hoja kwa kutumia ausearch na kutoa ripoti kwa kutumia shirika la aureport.

Katika nakala hii, tutaelezea jinsi ya kukagua mchakato uliopeanwa kwa kutumia matumizi ya autrace, ambapo tutachambua mchakato kwa kufuatilia simu za mfumo ambazo mchakato hufanya.

autrace ni matumizi ya mstari wa amri ambayo huendesha programu hadi itakapotoka, kama vile strace; inaongeza sheria za ukaguzi ili kufuatilia mchakato na kuhifadhi habari za ukaguzi katika /var/www/audit/audit.log faili. Ili ifanye kazi (yaani kabla ya kuendesha programu iliyochaguliwa), lazima kwanza ufute sheria zote zilizopo za ukaguzi.

Sintaksia ya kutumia autrace imeonyeshwa hapa chini, na inakubali chaguo moja tu, -r ambalo linaweka kikomo cha siskali zilizokusanywa kwa zile zinazohitajika kwa ajili ya kutathmini matumizi ya rasilimali ya mchakato:

# autrace -r program program-args

Makini: Katika ukurasa wa mtu wa autrace, syntax kama ifuatavyo, ambayo kwa kweli ni makosa ya hati. Kwa sababu kwa kutumia fomu hii, programu unayoendesha itachukulia kuwa unatumia mojawapo ya chaguo lake la ndani na hivyo kusababisha hitilafu au kutekeleza kitendo chaguo-msingi kinachowezeshwa na chaguo hilo.

# autrace program -r program-args

Ikiwa una sheria zozote za ukaguzi zilizopo, autrace inaonyesha hitilafu ifuatayo.

# autrace /usr/bin/df

Kwanza futa sheria zote zilizokaguliwa na amri ifuatayo.

# auditctl -D

Kisha endelea kuendesha autrace na programu unayolenga. Katika mfano huu, tunafuatilia utekelezaji wa df amri, ambayo inaonyesha matumizi ya mfumo wa faili.

# autrace /usr/bin/df -h

Kutoka kwa picha ya skrini hapo juu, unaweza kupata maingizo yote ya kumbukumbu ya kufanya na ufuatiliaji, kutoka kwa faili ya kumbukumbu ya ukaguzi kwa kutumia matumizi ya matumizi kama ifuatavyo.

# ausearch -i -p 2678

Ambapo chaguo:

  • -i - huwezesha ukalimani wa nambari katika maandishi.
  • -p - hupitisha kitambulisho cha mchakato kutafutwa.

Ili kutoa ripoti kuhusu maelezo ya ufuatiliaji, unaweza kuunda safu ya amri ya aureport kama hii.

# ausearch -p 2678 --raw | aureport -i -f

Wapi:

  • --ghafi - huiambia ausearch kuwasilisha data ghafi ili kuripoti.
  • -f - huwezesha kuripoti kuhusu faili na soketi za af_unix.
  • -i - inaruhusu kufasiri kwa thamani za nambari katika maandishi.

Na kwa kutumia amri iliyo hapa chini, tunaweka kikomo cha syscall zilizokusanywa kwa zile zinazohitajika kwa kuchambua matumizi ya rasilimali ya mchakato wa df.

# autrace -r /usr/bin/df -h

Ikizingatiwa kuwa umefuatilia programu kwa wiki moja iliyopita; maana kuna taarifa nyingi zimetupwa kwenye kumbukumbu za ukaguzi. Ili kutoa ripoti ya rekodi za leo pekee, tumia -ts alama ya utafutaji ili kubainisha tarehe/saa ya kuanza kwa utafutaji:

# ausearch -ts today -p 2678 --raw | aureport -i -f

Ni hayo tu! kwa njia hii unaweza kufuatilia na kukagua mchakato mahususi wa Linux kwa kutumia zana ya autrace, kwa habari zaidi angalia kurasa za mtu.

Unaweza pia kusoma miongozo hii inayohusiana, muhimu:

  1. Sysdig - Zana Yenye Nguvu ya Ufuatiliaji na Utatuzi wa Mfumo wa Linux
  2. BCC - Zana za Ufuatiliaji Zenye Nguvu za Ufuatiliaji wa Utendaji wa Linux, Mitandao na Mengineyo
  3. Mifano 30 Muhimu ya 'ps Amri' kwa Ufuatiliaji Mchakato wa Linux
  4. CPUTool - Weka Kikomo na Udhibiti Utumiaji wa CPU wa Mchakato Wowote katika Linux
  5. Tafuta Michakato ya Uendeshaji Bora kwa Kumbukumbu ya Juu na Matumizi ya CPU katika Linux

Ni hayo tu kwa sasa! Unaweza kuuliza maswali yoyote au kushiriki mawazo kuhusu makala hii kupitia maoni kutoka hapa chini. Katika makala inayofuata, tutaeleza jinsi ya kusanidi PAM (Moduli ya Uthibitishaji Inayoweza Kuchomekwa) kwa ukaguzi wa pembejeo za TTY kwa watumiaji waliobainishwa CentOS/RHEL.