А АFriday, 4 December 2020

Журналы Linux #7- ошибки и аудит.


Всем привет.

В Linux есть два компонента которые можно отнести к классическому логгированию. Это Аbrtd  - инструмент для создания отчетов об ошибках, и Аuditd  - прикладной компонент системы внутреннего аудита.

Аbrtd  - инструмент для создания отчетов об ошибках (bug reports). Активизируется при сбоях приложений и собирает дополнительные данные для последующего анализа и формирует отчеты для отправки.

В его состав входят:

abrtd - сам демон

abrtd-applet - апплет, работающий в области уведомлений пользователей в оболочке

abrt-gui - графический интерфейс, которые показывает собранные проблемы и позволяет оповещать о них

abrt-cli - интерфейс командной строки

Установка abrtd: 

yum install abrt-addon-ccpp abrt-addon-python abrt-cli abrt-tui abrt


Запуск сервиса:

systemctl start abrtd abrt-ccpp abrt-oops

systemctl status abrtd abrt-ccpp abrt-oops

Проверка:

cat /proc/sys/kernel/core_pattern/usr/libexec/abrt-hook-ccpp %s %c %p %u %g %t e

Просмотр списка отчетов:

abrt-cli list

id d6364f5cb49aef334e957c0bc6b4331ffc34e968

reason:         bash killed by SIGSEGV

time:           Thu 06 Aug 2020 08:48:13 PM UTC

cmdline:        /bin/bash ./loop

package:        bash-4.2.46-31.el7

uid:            0 (root)

count:          1

Directory:      /var/spool/abrt/ccpp-2020-08-06-20:48:13-6128

Детальный просмотр отчета:

abrt-cli list -d


Аuditd  - это прикладной компонент системы аудита в Linux. Пишет логи аудита, для удобства просмотра логов можно использовать ausearch и aureport. Команда auditctl позволяет настраивать правила аудита.

После загрузки системы правила читаются из /etc/audit.rules
Некоторые параметры auditd можно изменить в /etc/audit/auditd.conf

Аuditd, примеры добавления правил:

Все системные вызовы с конкретного PID
auditctl -a entry,always -S all -F pid=1005
Все открытые конкретным пользователем файлы
auditctl -a exit,always -S open -F auid=510
Все неудачные попытки открытия файлов
auditctl -a exit,always -S open -F success!=0
Наблюдение за каталогом
auditctl -w /home/user/test_dir/ -k test_watch
Наблюдение за вызовов insmod
auditctl -w /sbin/insmod -p x -k module_insertion
Выбор событий по аккаунту пользователя:
ausearch -ul root
Выбор событий по PID процесса:
ausearch -p 6222
Выбор событий по исполняемому файлу:
ausearch -x '/usr/sbin/crond'
Выбор событий в диапазоне по дате-времени:
ausearch -ts 08/06/2020 20:59 -te 08/06/2020 21:59

Огромная благодарность коллективу OTUS за материал презентации.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное