16. JULI 2019
Menu
Prozesse unter Linux überwachen mit auditd/auditctl
auditd protokolliert alle Prozess-Ereignisse wie zB. das Starten und Beenden
eines Prozesses. Das Protokoll findet sich unter /var/log/audit/audit.log
Um zB. neue Prozesse zu überwachen wird folgender Befehl verwendet:
auditctl -a exit,always -F arch=b32 -S execve auditctl -a exit,always -F arch=b64 -S execve
In diesem Falle werden sowohl 32-Bit Prozesse als auch 64-Bit Prozesse überwacht.
Um zB. nur die Prozesse anzuzeigen, können folgende Befehle verwendet werden:
tail -f audit/audit.log | grep --line-buffered SYSCALL | sed -un "s/.*exe=\([^ ]*\).*/\1/p" > /tmp/audit.log
In /tmp/audit.log
stehen danach nur mehr die Prozesse ohne die vielen anderen
Meta-Informationen.
Es empfiehlt sich das auditd zeitlich begrenzt ausgeführt wird da sonst, wie
oben kurz angedeutet, dies zu lasten der Disk-Ressourcen gehen kann. Ein
audit.log
kann bei intensiv genutzten Serversystemen schnell einmal in den
Gigabyte-Bereich gehen (pro Tag!)
Keywords: linux, auditd, auditctl
Dokumenten-ID: kb/a054b41d-c820-4e33-8382-1b99471619ee