Аудит системных вызовов команд с помощью autrace в CentOS / RHEL Linux

Рубрики:

Метки:

Команды LINUX «от A до Z» — настольная книга с примерами

Утилита autrace — инструмент командной строки Linux, который используется для аудита и мониторинга системных вызовов в ОС Linux. Эта команда входит в состав пакета приложений auditd, который предустановлен в большинстве популярных дистрибутивах.

В этой статье мы расскажем, как применять команду autrace в CentOS / RHEL Linux.

Содержание:

Синтаксис команды autrace
Отслеживание системных вызовов программ
Создание отчета по результатам аудита системных вызовов программ
Создание отчета по результатам аудита системных вызовов программ за определенный период
Выводы

Синтаксис команды autrace

Команда autrace имеет достаточно простой синтаксис:

autrace [-r] command [command-args]

Где:

[-r] — единственная опция команды autrace, которая используется для отображения только важных системных вызовов;
command — путь к двоичному файлу какой-либо утилиты;
[command-args] — опции или аргументы команды, указанной в command.

Отслеживание системных вызовов программ

Системный вызов — обращение программы к ядру операционной системы для выполнения какой-либо операции. Допустим, нам нужно узнать, какие системные вызовы сделает команда ls с опциями -l, -a и -h. Для этого выполним в терминале:

sudo autrace /usr/bin/ls -lah

Курсы Python с нуля до DevOps на практике за 1,5 часа

Важно: команду autrace следует использовать с привилегиями суперпользователя.

Читайте также: Как установить Lynis в Linux.

На скриншоте выше видно, что выполненная команда вывела на экран результат работы ls -lah и записала ее системные вызовы в файл журнала. Также утилита autrace предложила применить команду ausearch -i -p 3938, чтобы просмотреть лог-файл с трассировкой:

sudo ausearch -i -p 3938

Создание отчета по результатам аудита системных вызовов программ

Вы можете создать сводный отчет о результатах аудита работы процесса. Для этого следует использовать команду со следующим синтаксисом:

ausearch -p <PID> --raw | aureport -i -f

Где:

ausearch — команда, которая используется для запроса журналов аудита;
-p <PID> — опция, которая позволяет указать идентификатор процесса (PID), для которого следует найти системные вызовы;
--raw — опция, которая выводит сообщения итогов аудита в удобочитаемом формате;
| — символ конвейера, который перенаправляет вывод одной команды в качестве входных данных для другой;
aureport — команда, которая создает сводные отчеты из журналов аудита;
-i — опция, интерпретирующая числовые объекты в текст (например, значение UID преобразуется в имя учетной записи);
-f — опция, которая отображает отчет, сфокусированный на событиях аудита, связанных с файлами и сокетами.

В нашем случае, идентификатор ls -lah — 3938. Значит, мы выполним такую команду:

Курсы Git за час: руководство для начинающих DevOps / DevNet инженеров

sudo ausearch -p 3938 --raw | aureport -i -f

Создание отчета по результатам аудита системных вызовов программ за определенный период

Процессы могут работать на протяжение длительного времени, например, дней или даже недель. Чтобы не выводить на экран отчет о работе команды за весь период, Вы можете отобразить в терминале данные только за определенный интервал. Для этого в предыдущую команду нужно добавить опцию -ts:

ausearch -ts <period> -p <PID> --raw | aureport -i -f

Где <period> — начало периода, за который нужно вывести данные в отчете.

Для примера отобразим на экран только системные вызовы, сделанные сегодня:

sudo ausearch -ts today -p 3938 --raw | aureport -i -f

Выводы

Аудит процессов в CentOS / RHEL Linux с помощью команды autrace позволяет быстро проанализировать системные вызовы, сделанные командами. Используя возможности этой утилиты, системные администраторы и пользователи могут получить полезные сведения о поведении различных программ в Linux.

Спасибо за время, уделенное прочтению статьи!

Если возникли вопросы — задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

Проведем вечерние онлайн-лекции на нашей платформе.
Согласуем с вами удобное время для практик.
Если хотите индивидуальный график — обсудим и реализуем.
Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

отредактировать или создать с нуля резюме;
подготовиться к техническим интервью;
подготовиться к конкурсу на понравившуюся вакансию;
устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.