ലിനക്സ് പ്രക്രിയകൾ ഓഡിറ്റ് ചെയ്യാൻ ഓട്രേസ് ഉപയോഗിക്കുന്നു

N
നെറ്റൂസ്
ജനുവരി 31, 2020

സിസ്റ്റം ഇവന്റുകൾ ലോഗ് ചെയ്യുന്ന ഓപ്പറേറ്റിംഗ് സിസ്റ്റം പ്രോസസ്സുകൾക്കുള്ള ഒരു കമാൻഡ്-ലൈൻ ഓഡിറ്റിംഗ് സൊല്യൂഷനാണ് ഓട്രേസ് യൂട്ടിലിറ്റി. OS അപ്രതീക്ഷിതമായി ഷട്ട് ഡൗൺ ചെയ്യുക, നെറ്റ്‌വർക്ക് കോൺഫിഗറേഷൻ മാറ്റങ്ങൾ, സിസ്റ്റം ഫയൽ ആക്‌സസ്സ് പ്രത്യേകാവകാശങ്ങൾ എഡിറ്റ് ചെയ്യുക തുടങ്ങിയ പ്രധാന ഇവന്റുകളുടെ ട്രാക്ക് സൂക്ഷിക്കാൻ ഇത് ഉപയോഗിക്കുന്നു. CentOS ഒഴികെ, ആപ്ലിക്കേഷൻ ഓഡിറ്റ് പാക്കേജിന്റെ ഭാഗമാണ്, ഇത് ഒരു ലിനക്സ് ഡെസ്ക്ടോപ്പിൽ സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടില്ല.

ഉബുണ്ടു സെർവർ 18.04 പ്രവർത്തിക്കുന്ന ഒരു സെർവറിൽ എങ്ങനെ ഓഡിറ്റ് ചെയ്യാമെന്ന് ഞങ്ങൾ നിങ്ങളോട് പറയും.

പ്രാഥമിക തയ്യാറെടുപ്പ്

യൂട്ടിലിറ്റി ഇൻസ്റ്റാൾ ചെയ്യുന്നു:

sudo apt-get install auditd audispd-plugins

നടപടിക്രമം നാല് മിനിറ്റിൽ കൂടുതൽ എടുക്കില്ല.

ഉൽപ്പന്ന കോൺഫിഗറേഷൻ /etc/audit/auditd.conf ഫയലിൽ സംഭരിച്ചിരിക്കുന്നു. എഡിറ്റിംഗിനായി, ഞങ്ങൾ നാനോ അല്ലെങ്കിൽ വി പോലുള്ള ഒരു ടെക്സ്റ്റ് എഡിറ്റർ ഉപയോഗിക്കുന്നു.

ഒരു ഓഡിറ്റ് എങ്ങനെ നടത്താം

പൊതുവേ, കമാൻഡ് ഇതുപോലെ കാണപ്പെടുന്നു:

autrace –r name_program [keys]

name_program - പരിശോധിച്ച ഉൽപ്പന്നത്തിന്റെ പേര്;
കീകൾ - യൂട്ടിലിറ്റിക്ക് ലഭ്യമായ അധിക ഓപ്ഷനുകൾ.

യൂട്ടിലിറ്റി ശേഖരിക്കുന്ന ഡാറ്റയെ r കീ പരിമിതപ്പെടുത്തുന്നു. സജീവമാകുമ്പോൾ, നിർദ്ദിഷ്ട പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് വിശകലനത്തിന് ആവശ്യമായ ലോഗുകൾ മാത്രമേ ഓട്രേസ് ശേഖരിക്കൂ.

നമുക്ക് ഒരു ഉദാഹരണം എടുക്കാം: DF പ്രോഗ്രാം ഫയൽ ഘടനയുടെ ഉറവിടങ്ങൾ നിരീക്ഷിക്കുന്നു.

സേവനത്തിനായി ഒരു ഓഡിറ്റ് നടത്തുക:

sudo autrace -r /bin/df –h

യൂട്ടിലിറ്റി DF പ്രവർത്തനങ്ങൾ നിരീക്ഷിക്കാൻ തുടങ്ങും:

ഓഡിറ്റ് ഓട്രേസ്
സ്ക്രീൻഷോട്ട് #1. ഓഡിറ്റ് ഉദാഹരണം.

വിശദമായ വിവരങ്ങൾ കാണുന്നതിന്, ബിൽറ്റ്-ഇൻ ലോഗ് ഉപയോഗിക്കുക. ausearch കമാൻഡ് വഴിയാണ് ഇത് തുറക്കുന്നത്. ഓഡിറ്റ് ചെയ്യുന്ന പ്രോഗ്രാമിനെ ആശ്രയിച്ച്, കമാൻഡിന്റെ വാക്യഘടന വ്യത്യാസപ്പെടുന്നു. മുകളിലുള്ള ചിത്രത്തിലെ ഞങ്ങളുടെ ഉദാഹരണത്തിൽ, ഇത് ചുവപ്പ് നിറത്തിൽ ഹൈലൈറ്റ് ചെയ്തിരിക്കുന്നു.

ഉദ്ധരണികളില്ലാതെ ഞങ്ങൾ ടെർമിനലിൽ ടൈപ്പ് ചെയ്യുന്നു:

ausearch –I –p 7946

തൽഫലമായി, ലോഗിലെ വിശദമായ വിവരങ്ങൾ മോണിറ്ററിൽ ദൃശ്യമാകും. ausearch കമാൻഡിന്റെ വാക്യഘടന ഇപ്രകാരമാണ്:

ausearch –i –p <id>

ഐഡി കീ എന്നത് പ്രക്രിയയുടെ സംഖ്യാ മൂല്യമാണ്, അത് ഓട്രേസ് കമാൻഡ് അഭ്യർത്ഥിച്ചതിന് ശേഷം ലഭ്യമാണ്.
ലോഗ് തിരഞ്ഞ ഐഡന്റിഫയർ -p സ്വിച്ച് യൂട്ടിലിറ്റിയോട് പറയുന്നു, കൂടാതെ -i ഓപ്ഷൻ സംഖ്യാ മൂല്യങ്ങളെ വ്യാഖ്യാനിക്കുന്നു.

വിശദമായ ട്രെയ്‌സിംഗ് ആവശ്യമാണെങ്കിൽ, ഞങ്ങൾ മറ്റൊരു വാക്യഘടന ഉപയോഗിക്കുന്നു:

ausearch -p 7946 --raw | aureport -i –f

, -f സ്വിച്ച് ഫയലുകളെയും സോക്കറ്റുകളെയും കുറിച്ച് അറിയിക്കുന്നു, കൂടാതെ റോ കോമ്പിനേഷൻ ഔട്ട്പുട്ട് റിപ്പോർട്ടിന്റെ ഫോർമാറ്റ് വ്യക്തമാക്കുന്നു.

ദിവസം അനുസരിച്ച് വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിന്, എഴുതുക:

ausearch -p 7946 --raw | aureport -i -f

നിങ്ങൾക്ക് എളുപ്പത്തിൽ കാണാനാകുന്നതുപോലെ, ഉദാഹരണ ലേഖനത്തിൽ ഉപയോഗിച്ചിരിക്കുന്ന പ്രോസസ്സ് ഐഡിയാണ് മൂല്യം 7946.

നിങ്ങളുടെ ക്ലൗഡ് യാത്ര ആരംഭിക്കണോ? ഇപ്പോൾ തന്നെ ആദ്യപടി സ്വീകരിക്കുക.