Trang chủ Kiến thức cơ bản

Autrace - Công cụ kiểm tra, thống kê, theo dõi các tiến trình Linux

Autrace - Công cụ kiểm tra, thống kê, theo dõi các tiến trình Linux

Autrace là gì?

Autrace là một tiện ích cho phép chạy một tiến trình và lưu lại các thông tin audit của tiến trình trong file /var/www/audit/audit.log bằng cách thêm vào các audit rules.

Để làm việc được, trước tiên bạn cần phải xóa tât cả các audit rules hiện có.

Các cú pháp để sử dụng autrace

# autrace -r program program-args

Nếu bạn có bất kỳ một audit rule nào, autrace sẽ hiển thị lỗi, ví dụ:

Trên CentOS

# autrace /usr/bin/df

Trên Debian:

# autrace /bin/df

Đầu tiên bạn cần phải xóa tất cả các audit rules bằng lệnh sau:

# auditctl –D

Sau đó hệ thống sẽ chạy autrace với chương trình mà bạn mong muốn. Trong ví dụ ở đây, chúng tôi đang theo dõi xem câu lệnh df thực thi như thế nào, hiển thị trạng thái sử dụng của filesystem.

Trên CentOS:

# autrace /usr/bin/df -h

Trên Debian:

# autrace /bin/df -h

Từ screenshot bên trên, bạn có thể tìm thấy tất cả các log entries (bản ghi log - dòng log) để nghịch ngợm, thăm dò từ tập tin log sử dụng chức năng ausearch như sau.

Trên Centos:

# ausearch -i -p 2658

Trong đó:

-i : Cho phép diễn tả các giá trị số vào trong kết quả (enables interpreting of numeric values into text)

-p : Nhập vào process ID để tìm kiếm

Trên Debian:

# ausearch -i -p 6796

Để kết xuất ra một bản báo cáo về chi tiết, bạn có thể xây dựng một câu lệnh kết hợp ausearch và aureport như sau

Trên Centos

# ausearch -p 2678 --raw | aureport -i –f

Trong đó:

--raw : Nói với ausearch đưa toàn bộ kết quả thô (raw input) tới aureport

-f : Cho phép báo cáo về các file cũng như các socket af_unix

-i : Cho phép diễn tả các giá trị số vào trong kết quả (enables interpreting of numeric values into text)

Trên Debian

# ausearch -p 6796 --raw | aureport -i –f

Và bạn cũng có thể sử dụng lệnh sau để giới hạn các syscalls được tập hợp lại làm một, điều này cần thiết cho việc phân tích các tài nguyên sử dụng của tiến trình df

Trên Centos

# autrace -r /usr/bin/df -h

Trên Debian

# autrace -r /bin/df -h

Nếu như bạn đã từng autrace một chương trình vào tuần trước, điều đó có nghĩa là có rất nhiều thông tin được đổ vào các file audit logs. Để tạo ra một bản báo cáo chỉ ghi các sự kiện diễn ra trong hôm nay, bạn có thể sử dụng cờ -ts của ausearch để đặt chính xác thời gian bắt đầu tìm kiếm thông tin:

Trên Centos

# ausearch -ts today -p 2768 --raw | aureport -i –f


Trên Debian

# ausearch -ts today -p 6796 --raw | aureport -i -f

Đó là tất cả những gì cơ bản bạn có thể kiểm soát, thống kê và theo dõi một tiến trình Linux nào đó sử dụng công cụ autrace. Để biết thêm thông tin chi tiết hơn, bạn có thể đọc man pages.

>> Tham khảo thêm: So sánh giữa Ubuntu và Windows