Cómo auditar el proceso de Linux usando 'AutoRace' en CentOS/RHEL

Este artículo es nuestra serie en curso sobre la auditoría de Linux, en nuestros últimos tres artículos hemos explicado cómo auditar los sistemas Linux (Cento y Rhel), consulta los registros de auditd utilizando AUSEARCH y generar informes utilizando Aureport Utility.

En este artículo, explicaremos cómo auditar un proceso determinado utilizando autrace utilidad, donde analizaremos un proceso rastreando las llamadas del sistema que hace un proceso.

Leer también: Cómo rastrear la ejecución de los comandos en el script de shell con el rastreo de shell

Que es autrace?

autrace es una utilidad de línea de comandos que ejecuta un programa hasta que sale, al igual que santa; Agrega las reglas de auditoría para rastrear un proceso y guarda la información de auditoría en /var/www/audit/audit.registro archivo. Para que funcione (yo.e Antes de ejecutar el programa seleccionado), primero debe eliminar todas las reglas de auditoría existentes.

La sintaxis para usar autrace se muestra a continuación y solo acepta una opción, -riñonal que limita las syscalls recopiladas a las necesarias para evaluar el uso de recursos del proceso:

# AUTRACE -R Programa del programa -Args 

Atención: En el autrace Página del hombre, la sintaxis de la siguiente manera, que en realidad es un error de documentación. Porque con este formulario, el programa que ejecuta asumirá que está utilizando una de sus opciones internos, lo que resulta en un error o realiza la acción predeterminada habilitada por la opción.

# Programa Autrace -R Program -Args 

Si tiene alguna regla de auditoría presente, autrace muestra el siguiente error.

# AUTRACE/USR/BIN/DF 

Primero elimine todas las reglas de Auditd con el siguiente comando.

# Auditctl -d 

Luego proceda a correr autrace con tu programa objetivo. En este ejemplo, estamos rastreando la ejecución del comando DF, que muestra el uso del sistema de archivos.

# AUTRACE/USR/BIN/DF -H 

De la captura de pantalla de arriba, puede encontrar todas las entradas de registro con la traza, desde el archivo de registro de auditoría utilizando la utilidad de AUSEARCH de la siguiente manera.

# AUSEARCH -I -P 2678 

Donde la opción:

• -i - habilita la interpretación de valores numéricos en texto.
• -pag - pasa la identificación del proceso a buscar.

Para generar un informe sobre los detalles de la traza, puede crear una línea de comando de ausearch y aureport como esto.

# AUSEARCH -P 2678 - -RAW | aureport -i -f 

Dónde:

• --crudo - le dice a AUSEARCH que entregue la entrada sin procesar a AuReport.
• -F - habilita informar sobre archivos y sockets AF_UNIX.
• -i - Permite la interpretación de valores numéricos en texto.

Y utilizando el comando a continuación, estamos limitando las syscalls recolectadas a las necesarias para analizar el uso de recursos del proceso DF.

# AUTRACE -R/USR/BIN/DF -H 

Suponiendo que haya autromodiado un programa durante la última semana; lo que significa que hay mucha información arrojada en los registros de auditoría. Para producir un informe solo para los registros de hoy, use el -TS AUSEARCH BAGN para especificar la fecha/hora de inicio para buscar:

# AUSEARCH -TS Today -p 2678 - -RAW | aureport -i -f 

Eso es todo! De esta manera, puede rastrear y auditar el proceso específico de Linux utilizando autrace herramienta, para obtener más información verifique las páginas del hombre.

También puede leer estas guías relacionadas y útiles:

1. SYSDIG: una potente herramienta de monitoreo y solución de problemas para Linux
2. BCC - Herramientas de rastreo dinámico para el monitoreo de rendimiento de Linux, redes y más
3. 30 Ejemplos útiles de 'comando PS' para el monitoreo de procesos de Linux
4. CPUTOOL - Límite y controle la utilización de CPU de cualquier proceso en Linux
5. Encuentre los procesos de ejecución superior por el uso de memoria y CPU más alto en Linux

Eso es todo por ahora! Puede hacer cualquier pregunta o compartir pensamientos sobre este artículo a través del comentario de abajo. En el siguiente artículo, describiremos cómo configurar PAM (módulo de autenticación conectable) para la auditoría de la entrada TTY para usuarios especificados CentOS/RHEL.