Журналы Linux #7- ошибки и аудит.

Всем привет.

В Linux есть два компонента которые можно отнести к классическому логгированию. Это Аbrtd  - инструмент для создания отчетов об ошибках, и Аuditd  - прикладной компонент системы внутреннего аудита.

Аbrtd  - инструмент для создания отчетов об ошибках (bug reports). Активизируется при сбоях приложений и собирает дополнительные данные для последующего анализа и формирует отчеты для отправки.

В его состав входят:

abrtd - сам демон

abrtd-applet - апплет, работающий в области уведомлений пользователей в оболочке

abrt-gui - графический интерфейс, которые показывает собранные проблемы и позволяет оповещать о них

abrt-cli - интерфейс командной строки

Установка abrtd: 

yum install abrt-addon-ccpp abrt-addon-python abrt-cli abrt-tui abrt

Запуск сервиса:

systemctl start abrtd abrt-ccpp abrt-oops

systemctl status abrtd abrt-ccpp abrt-oops

Проверка:

cat /proc/sys/kernel/core_pattern/usr/libexec/abrt-hook-ccpp %s %c %p %u %g %t e

Просмотр списка отчетов:

abrt-cli list

id d6364f5cb49aef334e957c0bc6b4331ffc34e968

reason:         bash killed by SIGSEGV

time:           Thu 06 Aug 2020 08:48:13 PM UTC

cmdline:        /bin/bash ./loop

package:        bash-4.2.46-31.el7

uid:            0 (root)

count:          1

Directory:      /var/spool/abrt/ccpp-2020-08-06-20:48:13-6128

Детальный просмотр отчета:

abrt-cli list -d

Аuditd  - это прикладной компонент системы аудита в Linux. Пишет логи аудита, для удобства просмотра логов можно использовать ausearch и aureport. Команда auditctl позволяет настраивать правила аудита.

После загрузки системы правила читаются из /etc/audit.rules

Некоторые параметры auditd можно изменить в /etc/audit/auditd.conf

Аuditd, примеры добавления правил:

Все системные вызовы с конкретного PID

auditctl -a entry,always -S all -F pid=1005

Все открытые конкретным пользователем файлы

auditctl -a exit,always -S open -F auid=510

Все неудачные попытки открытия файлов

auditctl -a exit,always -S open -F success!=0

Наблюдение за каталогом

auditctl -w /home/user/test_dir/ -k test_watch

Наблюдение за вызовов insmod

auditctl -w /sbin/insmod -p x -k module_insertion

Выбор событий по аккаунту пользователя:

ausearch -ul root

Выбор событий по PID процесса:

ausearch -p 6222

Выбор событий по исполняемому файлу:

ausearch -x '/usr/sbin/crond'

Выбор событий в диапазоне по дате-времени:

ausearch -ts 08/06/2020 20:59 -te 08/06/2020 21:59

Огромная благодарность коллективу OTUS за материал презентации.