Ausearch : поиск и анализ событий

 

Для просмотра детальной информации о событии используется утилита ausearch:

 

sudo ausearch –a <номерсобытия>

 

Вывод приведённой выше команды выглядит так:

type=SYSCALL msg=audit(1364481363.243:24287): arch=c000003e syscall=2 success=no exit=-13 a0=7fffd19c5592 a1=0 a2=7fffd19c4b50 a3=a items=1 ppid=2686 pid=3538 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=1 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"

Рассмотрим его структуру более подробно. В поле type указывается тип записи; type = syscall означает, что запись была сделана после выполнения системного вызова. В поле msg указано время события в формате Unix Timestamp и его уникальный идентификационный номер.

В поле arch содержится информация об используемой архитектуре системы (c000003e означает x86_84), представленная в закодированном шестнадцатеричном формате. Чтобы она выводилась в человекочитаемом виде, можно воспользоваться опцией -i или −−interpret.

В поле syscall указан тип системного вызова — в нашем случае это 2, то есть вызов open. Параметр success сообщает, был ли вызов обработан успешно или нет. В нашем примере вызов был обработан неудачно (success = no).

Вывести на консоль информацию о любом параметре в человекочитаемой форме можно получить при помощи упомянутой выше опции -i или −−interpret, например:

sudoausearch –interpet --exit -13

 

Опция -sc позволяет включать в список события, относящиеся к указанному системному вызову, например:

sudoausearch –scptrace

 

Опция -ui служит для поиска событий по идентификатору пользователя:

sudoausearch –ui 33

 

Для поиска нужных событий можно также использовать ключи, например:

sudoauditctl –kroot-actions

 

Приведённая команда выведет список всех действий, совершённых от имени root-пользователя. Поддерживается также фильтрация по дате и времени, аналогичная той, что была описана выше. Вывести список событий, завершившихся неудачно, можно с помощью опции −−failed.

Анализ процессов

В некоторых случаях бывает полезным получить информацию о событиях, связанных с одним конкретным процессом. Для этой цели можно воспользоваться утилитой autrace. Предположим, нам нужно отследить процесс date и узнать, какие системные вызовы и файлы он использует. Выполним команду:

sudoautrace /bin/date

 

На консоли появится следующий текст:

Waiting to execute: /bin/date

Mon Aug 31 17:06:32 MSK 2015

Cleaning up...

Trace complete. You can locate the records with 'ausearch -i -p 29234'

Trace complete. You can locate the records with 'ausearch -i -p 29234'

Обратим внимание на последнюю строку вывода: в ней указана команда, с помощью которой можно получить более подробную информацию. Выполним эту команду и передадим вывод утилите aureport, которая преобразует его в человекочитаемый формат:

sudo ausearch –p 29215 --raw | aureport –f –i

В результате мы получим вот такой отчёт:

 

File Report

===============================================

# date time file syscall success exe auid event

===============================================

1. 08/31/2015 16:52:16 /bin/date execve yes /bin/date root 25

2. 08/31/2015 16:52:16 /etc/ld.so.nohwcap access no /bin/date root 27

3. 08/31/2015 16:52:16 /etc/ld.so.preload access no /bin/date root 29

4. 08/31/2015 16:52:16 /etc/ld.so.cache open yes /bin/date root 30

5. 08/31/2015 16:52:16 /etc/ld.so.nohwcap access no /bin/date root 34

6. 08/31/2015 16:52:16 /lib/x86_64-linux-gnu/libc.so.6 open yes /bin/date root 35

7. 08/31/2015 16:52:16 /usr/lib/locale/locale-archive open yes /bin/date root 52

8. 08/31/2015 16:52:16 /etc/localtime open yes /bin/date root 56

Trace complete. You can locate the records with 'ausearch -i -p 29234'

⇐ Предыдущая1234567Следующая ⇒

Поделиться: