Prozesse unter Linux überwachen mit auditd/auditctl

auditd protokolliert alle Prozess-Ereignisse wie zB. das Starten und Beenden eines Prozesses. Das Protokoll findet sich unter /var/log/audit/audit.log

Um zB. neue Prozesse zu überwachen wird folgender Befehl verwendet:

auditctl -a exit,always -F arch=b32 -S execve
auditctl -a exit,always -F arch=b64 -S execve

In diesem Falle werden sowohl 32-Bit Prozesse als auch 64-Bit Prozesse überwacht.

Um zB. nur die Prozesse anzuzeigen, können folgende Befehle verwendet werden:

tail -f audit/audit.log | grep --line-buffered SYSCALL | sed -un "s/.*exe=\([^ ]*\).*/\1/p" > /tmp/audit.log

In /tmp/audit.log stehen danach nur mehr die Prozesse ohne die vielen anderen Meta-Informationen.

Es empfiehlt sich das auditd zeitlich begrenzt ausgeführt wird da sonst, wie oben kurz angedeutet, dies zu lasten der Disk-Ressourcen gehen kann. Ein audit.log kann bei intensiv genutzten Serversystemen schnell einmal in den Gigabyte-Bereich gehen (pro Tag!)

---

Keywords: linux, auditd, auditctl
Dokumenten-ID: kb/a054b41d-c820-4e33-8382-1b99471619ee



Startseite - Keywords - Sitemap - Impressum Top