2.4.3.7 Утилита autrace
Скачать документ
Синтаксис и запуск
Примеры использования
Окружение
- Версия ОС: 7.3
- Конфигурация ОС: Рабочая станция
- Редакция ОС: Стандартная
- Версия ПО: audit-3.1.3-1
autrace — это инструмент из пакета audit, предназначенный для трассировки системных вызовов, совершаемых процессом при выполнении команды. Он автоматически настраивает правила аудита, запускает указанную команду и записывает все действия в журнал аудита.
Синтаксис и запуск
Утилита доступна для запуска через терминал при помощи команды следующего вида:
autrace <программа> [-r] [<аргументы_программы>]...
При запуске autrace создаёт и загружает правила аудита для отслеживания работы запускаемого процесса (подобно strace). После этого утилита запустит указанную <программу> c передачей ей аргументов из параметра <аргументы_программы>. Результирующая информация аудита будет записана в журналы аудита и/или в системный журнал. В целях безопасности запуск будет невозможен до тех пор, пока правила не будут предварительно очищены с помощью команды:
auditctl -D
Опция -r ограничивает набор системных вызовов теми, которые необходимы для анализа использования ресурсов. Такой режим может помочь при создании модели угроз, а также уменьшить объем событий, записываемых в журнал аудита.
Примеры использования
1. Типовое применение:
autrace /bin/ls /tmp
ausearch --start recent -i -p 5274
2. Применение при анализе использования ресурсов:
autrace -r /bin/ls Waiting to execute: /bin/ls ks-post.log Cleaning up... Trace complete. You can locate the records with 'ausearch -i -p 5160'
Это инициирует запуск ls с записью всех системных вызовов, которые она делает. После завершения трассировки данные можно анализировать через ausearch, чтобы понять, к каким файлам, сокетам, устройствам обращается команда /bin/ls.
ausearch --start recent -p 5160 --raw | aureport --file --summary File Summary Report =========================== total file =========================== 1 /bin/ls 1 /lib64/ld-linux-x86-64.so.2 1 /etc/ld.so.cache 1 /lib64/libselinux.so.1 1 /lib64/libcap.so.2 1 /lib64/libc.so.6 1 /lib64/libpcre2-8.so.0 1 /usr/lib/locale/locale-archive
3. Пример запуска трассировки команды подключения по SSH к удалённому хосту.
autrace -r /bin/ssh user@192.168.122.109
Разрешите подключение и введите пароль:
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
user@192.168.122.109's password:
Завершите SSH сессию:
exit
В выводе будет отображен PID процесса:
Connection to 192.168.122.109 closed.
Cleaning up... Trace complete. You can locate the records with 'ausearch -i -p 5386'
Запуск команды ausearch для поиска событий аудита процесса с PID 5386, aureport --host --summary — строит отчёт по удалённым хостам, с которыми было взаимодействие.
ausearch --start recent -p 5386 --raw | aureport --host --summary Host Summary Report =========================== total host =========================== 1 192.168.122.109
Дата последнего изменения: 17.11.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.