Утилита autrace

Синтаксис и запуск
Примеры использования

Окружение

• Версия ОС: 7.3
• Конфигурация ОС: Рабочая станция
• Редакция ОС: Стандартная
• Версия ПО: audit-3.1.3-1

autrace — это инструмент из пакета audit, предназначенный для трассировки системных вызовов, совершаемых процессом при выполнении команды. Он автоматически настраивает правила аудита, запускает указанную команду и записывает все действия в журнал аудита.

Синтаксис и запуск

Утилита доступна для запуска через терминал при помощи команды следующего вида:

autrace <программа> [-r] [аргументы_программы]...

При запуске autrace создаёт и загружает правила аудита для отслеживания работы запускаемого процесса (подобно strace). После этого утилита запустит указанную программу с передачей ей аргументов из параметра аргументы_программы. Результирующая информация аудита будет записана в журналы аудита и/или в системный журнал. В целях безопасности запуск будет невозможен до тех пор, пока правила не будут предварительно очищены с помощью команды:

auditctl -D

Опция -r ограничивает набор системных вызовов теми, которые необходимы для анализа использования ресурсов. Такой режим может помочь при создании модели угроз, а также уменьшить объем событий, записываемых в журнал аудита.

Примеры использования

1. Типовое применение:

autrace /bin/ls /tmp

ausearch --start recent -i -p 5274

2. Применение при анализе использования ресурсов:

autrace -r /bin/lsWaiting to execute: /bin/ls
ks-post.log
Cleaning up...
Trace complete. You can locate the records with 'ausearch -i -p 5160'

Это инициирует запуск ls с записью всех системных вызовов, которые она делает. После завершения трассировки данные можно анализировать через ausearch, чтобы понять, к каким файлам, сокетам, устройствам обращается команда /bin/ls.

ausearch --start recent -p 5160 --raw | aureport --file --summaryFile Summary Report
===========================
total  file
===========================
1  /bin/ls
1  /lib64/ld-linux-x86-64.so.2
1  /etc/ld.so.cache
1  /lib64/libselinux.so.1
1  /lib64/libcap.so.2
1  /lib64/libc.so.6
1  /lib64/libpcre2-8.so.0
1  /usr/lib/locale/locale-archive

3. Пример запуска трассировки команды подключения по SSH к удалённому хосту.

autrace -r /bin/ssh user@192.168.122.109

Разрешите подключение и введите пароль:

Are you sure you want to continue connecting (yes/no/[fingerprint])? yesuser@192.168.122.109's password:

Завершите SSH сессию:

exit

В выводе будет отображен PID процесса:

Connection to 192.168.122.109 closed.
Cleaning up...
Trace complete. You can locate the records with 'ausearch -i -p 5386'

Запуск команды ausearch для поиска событий аудита процесса с PID 5386, aureport --host --summary — строит отчёт по удалённым хостам, с которыми было взаимодействие.

ausearch --start recent -p 5386 --raw | aureport --host --summaryHost Summary Report
===========================
total  host
===========================
1  192.168.122.109

Дата последнего изменения: 24.07.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.