Jak mogę zalogować wszystkie uruchomienia procesów w systemie Linux?

55

Chciałbym uzyskać dziennik wszystkich procesów uruchomionych wraz z czasem, w którym zostały uruchomione, oraz argumentami, z którymi zostały uruchomione. Czy to możliwe w Linuksie?

linux logging Brandon DuRette
źródło

Odpowiedzi:

43

Punktem wyjścia powinien być audyt.

Wypróbuj coś takiego:

apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
Mikel
źródło
1
Pojawia się błąd The audit system is disabledGdzie mogę to włączyć?
Tombart
1
cóż, jeden problem można rozwiązać, chmod 0750 /sbin/audispdale wciąż nie działa (Debian Wheezy)
Tombart
jest powiedziane, Unable to set audit pid, exitingale wydaje mi się, że prawdziwym problemem będzie to, że system działa w kontenerze
LXC
W jaki sposób audyt integruje się z systemd Journald? Czy ich funkcje się pokrywają?
CMCDragonkai
Próbowałem tego na serwerze na żywo i skutecznie go zabiłem, prawie przestałem reagować. Ledwo udało mi się usunąć tę regułę i sprawić, że serwer ponownie
zareaguje
10

Musiałem to zrobić, z wyjątkiem tego, że (1) nie potrzebowałem czasu i (2) interesowałem się tylko procesami, które są uruchamiane przez dany proces oraz jego potomkami i późniejszymi potomkami. Również w środowisku używałem, to nie było możliwe, aby uzyskać auditdalbo accton, ale nie było valgrind.

W wierszu komend wpisz następujący proces:

valgrind --trace-children=yes

Potrzebne informacje znajdą się w danych wyjściowych dziennika wyświetlanych w STDERR.

Jewgienij Siergiejew
źródło
3
Domyślnie valgrind działa z memchecknarzędziem. Aby wyłączyć narzędzie i związanego rejestrowanie i drukować tylko tworzenie nowych poleceń (oprócz zwykłego wyjścia programu), należy użyć następującego polecenia zamiast: valgrind --tool=none --trace-children=yes [command and args here]. Za każdym razem, gdy podproces jest spawnowany, Valgrind rejestruje pełne polecenie, łącznie z przekazanymi mu argumentami.
Rob W
6

Możesz użyć do tego snoopy .

Jest bardzo prosty w instalacji, a od wersji 2.x może rejestrować dowolne dane (argumenty, zmienne środowiskowe, cwd itp.).

Ujawnienie: Opiekun Snoopy tutaj.

Bostjan Skufca
źródło
2

Możesz uruchomić startmon i postępować zgodnie ze standardowym wyjściem, Ctrl-C po zakończeniu. Oto jak skompilować i uruchomić startmon na ostatnich dystrybucjach pochodzących z Red Hata (RHEL, Fedora, CentOS):

sudo yum install git cmake gcc-c++
git clone https://github.com/pturmel/startmon
cd startmon
cmake .
make
sudo ./startmon -e

W Debianie (i Ubuntu itp.) Pierwsza linia powyższego zmienia się na:

sudo apt-get install git cmake g++

Alternatywnie możesz wypróbować execsnoopskrypt w perf-tools, zobacz tę odpowiedź . Domyślnie wyświetlane jest tylko pierwszych 8 argumentów (9 łącznie z nazwą programu); możesz to zwiększyć poprzez

sudo ./execsnoop -a 16

Jeśli nie masz dostępu do systemu root, najlepiej możesz nadal odpytywać /proci mieć nadzieję, że wyłapie wszystko (czego nie zrobi), ale dla kompletności oto skrypt do zrobienia tego (umieściłem usuwanie duplikatów w celu uproszczenia danych wyjściowych) - chociaż nie jest to tak dobre, jak ich prawidłowe śledzenie za pomocą jednej z powyższych metod, ma niewielką zaletę jednoznacznego wyświetlania separatorów między argumentami wiersza polecenia, na wypadek, gdybyś kiedykolwiek musiał powiedzieć różnica między spacjami wewnątrz argumentu a spacją między argumentami. Ten skrypt jest nieefektywny, ponieważ używa procesora (cóż, jednego z jego rdzeni) przez 100% czasu.

function pstail () { python -c 'import os
last=set(os.listdir("/proc")) ; o=x=""
while True:
 pids=set(os.listdir("/proc"))
 new=pids.difference(last);last=pids
 for n in new:
  try: o,x=x,[j for j in open("/proc/"+n+"/cmdline")
    .read().split(chr(0)) if j]
  except IOError: pass
  if x and not o==x: print n,x' ; }

pstail

Możesz także załatać, execsnoopaby powiedzieć ci, który argument jest który:grep -v sub.*arg < execsnoop > n && chmod +x n && mv n execsnoop

Silas S. Brown
źródło
1

CONFIG_FTRACEi CONFIG_KPROBESprzezbrendangregg/perf-tools

git clone https://github.com/brendangregg/perf-tools.git
cd perf-tools
git checkout 98d42a2a1493d2d1c651a5c396e015d4f082eb20
sudo ./execsnoop

Na innej powłoce:

while true; do sleep 1; date; done

Pierwsza powłoka pokazuje dane formatu:

Tracing exec()s. Ctrl-C to end.                                                        
Instrumenting sys_execve                                                               
   PID   PPID ARGS 
 20109   4336 date                                                                                       
 20110   4336 sleep 1                                                                                    
 20111   4336 date                                                                                                                                                                                                 
 20112   4336 sleep 1                                                                                    
 20113   4336 date                                                                                       
 20114   4336 sleep 1                                                                                    
 20115   4336 date                                                                                       
 20116   4336 sleep 1

CONFIG_PROC_EVENTS

Przykładowa sesja:

$ su
# ./proc_events &
# /proc_events.out &
set mcast listen ok
# sleep 2 & sleep 1 &
fork: parent tid=48 pid=48 -> child tid=56 pid=56
fork: parent tid=48 pid=48 -> child tid=57 pid=57
exec: tid=57 pid=57
exec: tid=56 pid=56
exit: tid=57 pid=57 exit_code=0
exit: tid=56 pid=56 exit_code=0

CONFIG_PROC_EVENTSudostępnia zdarzenia do użytkownika przez gniazdo netlink .

proc_events.c zaadaptowano z: https://bewareofgeek.livejournal.com/2945.html

#define _XOPEN_SOURCE 700
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/connector.h>
#include <linux/cn_proc.h>
#include <signal.h>
#include <errno.h>
#include <stdbool.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <stdio.h>

static volatile bool need_exit = false;

static int nl_connect()
{
    int rc;
    int nl_sock;
    struct sockaddr_nl sa_nl;

    nl_sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_CONNECTOR);
    if (nl_sock == -1) {
        perror("socket");
        return -1;
    }
    sa_nl.nl_family = AF_NETLINK;
    sa_nl.nl_groups = CN_IDX_PROC;
    sa_nl.nl_pid = getpid();
    rc = bind(nl_sock, (struct sockaddr *)&sa_nl, sizeof(sa_nl));
    if (rc == -1) {
        perror("bind");
        close(nl_sock);
        return -1;
    }
    return nl_sock;
}

static int set_proc_ev_listen(int nl_sock, bool enable)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            enum proc_cn_mcast_op cn_mcast;
        };
    } nlcn_msg;

    memset(&nlcn_msg, 0, sizeof(nlcn_msg));
    nlcn_msg.nl_hdr.nlmsg_len = sizeof(nlcn_msg);
    nlcn_msg.nl_hdr.nlmsg_pid = getpid();
    nlcn_msg.nl_hdr.nlmsg_type = NLMSG_DONE;

    nlcn_msg.cn_msg.id.idx = CN_IDX_PROC;
    nlcn_msg.cn_msg.id.val = CN_VAL_PROC;
    nlcn_msg.cn_msg.len = sizeof(enum proc_cn_mcast_op);

    nlcn_msg.cn_mcast = enable ? PROC_CN_MCAST_LISTEN : PROC_CN_MCAST_IGNORE;

    rc = send(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
    if (rc == -1) {
        perror("netlink send");
        return -1;
    }

    return 0;
}

static int handle_proc_ev(int nl_sock)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            struct proc_event proc_ev;
        };
    } nlcn_msg;
    while (!need_exit) {
        rc = recv(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
        if (rc == 0) {
            /* shutdown? */
            return 0;
        } else if (rc == -1) {
            if (errno == EINTR) continue;
            perror("netlink recv");
            return -1;
        }
        switch (nlcn_msg.proc_ev.what) {
            case PROC_EVENT_NONE:
                printf("set mcast listen ok\n");
                break;
            case PROC_EVENT_FORK:
                printf("fork: parent tid=%d pid=%d -> child tid=%d pid=%d\n",
                        nlcn_msg.proc_ev.event_data.fork.parent_pid,
                        nlcn_msg.proc_ev.event_data.fork.parent_tgid,
                        nlcn_msg.proc_ev.event_data.fork.child_pid,
                        nlcn_msg.proc_ev.event_data.fork.child_tgid);
                break;
            case PROC_EVENT_EXEC:
                printf("exec: tid=%d pid=%d\n",
                        nlcn_msg.proc_ev.event_data.exec.process_pid,
                        nlcn_msg.proc_ev.event_data.exec.process_tgid);
                break;
            case PROC_EVENT_UID:
                printf("uid change: tid=%d pid=%d from %d to %d\n",
                        nlcn_msg.proc_ev.event_data.id.process_pid,
                        nlcn_msg.proc_ev.event_data.id.process_tgid,
                        nlcn_msg.proc_ev.event_data.id.r.ruid,
                        nlcn_msg.proc_ev.event_data.id.e.euid);
                break;
            case PROC_EVENT_GID:
                printf("gid change: tid=%d pid=%d from %d to %d\n",
                        nlcn_msg.proc_ev.event_data.id.process_pid,
                        nlcn_msg.proc_ev.event_data.id.process_tgid,
                        nlcn_msg.proc_ev.event_data.id.r.rgid,
                        nlcn_msg.proc_ev.event_data.id.e.egid);
                break;
            case PROC_EVENT_EXIT:
                printf("exit: tid=%d pid=%d exit_code=%d\n",
                        nlcn_msg.proc_ev.event_data.exit.process_pid,
                        nlcn_msg.proc_ev.event_data.exit.process_tgid,
                        nlcn_msg.proc_ev.event_data.exit.exit_code);
                break;
            default:
                printf("unhandled proc event\n");
                break;
        }
    }

    return 0;
}

static void on_sigint(__attribute__ ((unused)) int unused)
{
    need_exit = true;
}

int main()
{
    int nl_sock;
    int rc = EXIT_SUCCESS;

    signal(SIGINT, &on_sigint);
    siginterrupt(SIGINT, true);
    nl_sock = nl_connect();
    if (nl_sock == -1)
        exit(EXIT_FAILURE);
    rc = set_proc_ev_listen(nl_sock, true);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    rc = handle_proc_ev(nl_sock);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    set_proc_ev_listen(nl_sock, false);
out:
    close(nl_sock);
    exit(rc);
}

Upatream GitHub .

Nie sądzę jednak, aby można było uzyskać dane procesowe, takie jak UID i argumenty procesowe, ponieważ exec_proc_eventzawiera tak mało danych: https://github.com/torvalds/linux/blob/v4.16/include/uapi/linux/cn_proc .h # L80 Moglibyśmy spróbować odczytać go natychmiast /proc, ale istnieje ryzyko, że proces się skończy, a inny przejmie PID, więc nie byłby wiarygodny.

Testowane w Ubuntu 17.10.

Ciro Santilli
źródło
0

Możesz także użyć atop do przeglądania wykorzystania zasobów przez procesy. Jest to przydatne narzędzie do rejestrowania i analizowania zużycia zasobów w każdej części czasu

Quarind
źródło
-3

Możesz spróbować cat ~/.bash_history Jest system log viewer, to może ci pomóc.

Kracekumar
źródło
1
~/.bash_historynajwyraźniej zawiera tylko polecenia, które wykonałem w terminalu. Szukam dziennika wszystkich wykonanych programów, na przykład kiedy klikam ikonę, aby otworzyć klienta poczty e-mail, gedit lub otwieram przeglądarkę, a moja przeglądarka sama wykonuje inny proces. Odpowiedź new123456 załatwiła sprawę.
runeks
1
Dodajmy również, że polecenie historyjest zwykłym sposobem uzyskiwania dostępu do tych informacji.
bryn