CentOS / RHEL पर 'ऑट्रेस' का उपयोग करके लिनक्स प्रक्रिया का ऑडिट कैसे करें

यह लेख लिनक्स ऑडिटिंग पर हमारी चल रही श्रृंखला है, अपने पिछले तीन लेखों में हमने समझाया है कि लिनक्स सिस्टम ( CentOS और RHEL ) का ऑडिट कैसे किया जाए, ausearch और generate का उपयोग करके क्वेरी ऑडिट लॉग aureport यूटिलिटी का उपयोग करके रिपोर्ट।

इस लेख में, हम बताएंगे कि ऑट्रेस उपयोगिता का उपयोग करके किसी दिए गए प्रक्रिया का ऑडिट कैसे किया जाए, जहां हम प्रक्रिया को कॉल करने वाली प्रक्रिया का पता लगाकर एक प्रक्रिया का विश्लेषण करते हैं।

ऑट्रेस एक कमांड लाइन उपयोगिता है जो किसी प्रोग्राम को तब तक चलाता है जब तक वह बाहर नहीं निकलता है, जैसे स्ट्रेस ; यह एक प्रक्रिया का पता लगाने के लिए ऑडिट नियमों को जोड़ता है और ऑडिट जानकारी को /var/www/audit/audit.log फ़ाइल में सहेजता है। इसे काम करने के लिए (यानी चयनित प्रोग्राम को चलाने से पहले), आपको पहले सभी मौजूदा ऑडिट नियमों को हटाना होगा।

ऑट्रेस का उपयोग करने के लिए वाक्यविन्यास नीचे दिखाया गया है, और यह केवल एक विकल्प को स्वीकार करता है, -r जो प्रक्रिया के संसाधन उपयोग का आकलन करने के लिए आवश्यक syscalls को सीमित करता है:

# autrace -r program program-args

लाल

# autrace program -r program-args

यदि आपके पास कोई ऑडिट नियम मौजूद है, तो ऑट्रेस निम्न त्रुटि दिखाता है।

# autrace /usr/bin/df

पहले सभी कमांड नियमों को निम्नलिखित कमांड के साथ हटाएं।

# auditctl -D

फिर अपने लक्ष्य कार्यक्रम के साथ ऑट्रेस चलाने के लिए आगे बढ़ें। इस उदाहरण में, हम df कमांड के निष्पादन को ट्रेस कर रहे हैं, जो फाइलसिस्टम के उपयोग को दिखाता है।

# autrace /usr/bin/df -h

उपरोक्त स्क्रीनशॉट से, आप ट्रेस के साथ लॉग इन करने के लिए सभी लॉग प्रविष्टियाँ पा सकते हैं, ऑडिशन लॉग फ़ाइल से निम्नानुसार उपयोगिता खोज का उपयोग कर सकते हैं।

# ausearch -i -p 2678

जहां विकल्प:

  • -i – enables interpreting of numeric values into text.
  • -p – passes the process ID to be searched.

ट्रेस विवरण के बारे में एक रिपोर्ट उत्पन्न करने के लिए, आप इस तरह ausearch और aureport की कमांड लाइन बना सकते हैं।

# ausearch -p 2678 --raw | aureport -i -f

कहा पे:

  • --raw – tells ausearch to deliver raw input to aureport.
  • -f – enables reporting about files and af_unix sockets.
  • -i – allows interpreting of numeric values into text.

और नीचे दिए गए कमांड का उपयोग करते हुए, हम df प्रक्रिया के संसाधन उपयोग के विश्लेषण के लिए आवश्यक लोगों के लिए एकत्रित syscalls को सीमित कर रहे हैं।

# autrace -r /usr/bin/df -h

मान लें कि आपने पिछले एक सप्ताह के लिए एक कार्यक्रम शुरू किया है; अर्थ यह है कि ऑडिट लॉग में बहुत सारी जानकारी डंप है। केवल आज के रिकॉर्ड के लिए एक रिपोर्ट बनाने के लिए, खोज के लिए प्रारंभ दिनांक/समय निर्दिष्ट करने के लिए -ts ausearch ध्वज का उपयोग करें:

# ausearch -ts today -p 2678 --raw | aureport -i -f

बस! इस तरह से आप अधिक जानकारी के लिए ऑट्रेस टूल का उपयोग करके विशिष्ट लिनक्स प्रक्रिया का पता लगा सकते हैं और ऑडिट कर सकते हैं।

आप इन संबंधित, उपयोगी मार्गदर्शिकाओं को भी पढ़ सकते हैं:

  1. Sysdig – A Powerful System Monitoring and Troubleshooting Tool for Linux
  2. BCC – Dynamic Tracing Tools for Linux Performance Monitoring, Networking and More
  3. 30 Useful ‘ps Command’ Examples for Linux Process Monitoring
  4. CPUTool – Limit and Control CPU Utilization of Any Process in Linux
  5. Find Top Running Processes by Highest Memory and CPU Usage in Linux

अभी के लिए इतना ही! आप इस लेख के बारे में कोई भी सवाल पूछ सकते हैं या इस बारे में विचार साझा कर सकते हैं। अगले लेख में, हम वर्णन करेंगे कि कैसे निर्दिष्ट उपयोगकर्ताओं CentOS/RHEL के लिए TTY इनपुट की ऑडिटिंग के लिए PAM (प्लगगेज ऑथेंटिकेशन मॉड्यूल) कॉन्फ़िगर किया जाए।