那些遇到过的问题

有没有一种简单的方法来记录所有执行的命令,包括命令行参数?

Pet*_*ace 15 logs proc audit arguments

我试图找到如何记录特定实例化rrdtool以查看它接收的路径是否不正确。

我知道我可以将可执行文件包装在一个可以记录参数的 shell 脚本中,但我想知道是否有一种更特定于内核的方法来监视它,也许是一个文件系统回调,可以看到特定的 /proc/pid/exe匹配给定的二进制文件?

Gil*_*il' 20

是的,有一个内核工具:审计子系统。该auditd守护进程会进行记录,并命令auditctl设置的日志记录规则。您可以将所有调用记录到特定系统 alls,并进行一些过滤。如果要记录所有执行的命令及其参数,请记录execve系统调用:

auditctl -a exit,always -S execve
Run Code Online (Sandbox Code Playgroud)

要专门跟踪特定程序的调用,请在程序可执行文件上添加过滤器:

auditctl -a exit,always -S execve -F path=/usr/bin/rrdtool
Run Code Online (Sandbox Code Playgroud)

日志显示在/var/log/audit.log,或您的发行版放置它们的任何地方。您需要成为 root 用户才能控制审计子系统。

完成调查后,使用相同的命令行 with-d而不是-a删除日志记录规则,或运行auditctl -D以删除所有审核规则。

出于调试目的,用包装脚本替换程序可以让您更灵活地记录环境、有关父进程的信息等内容。

小智 6

你可以使用史努比

Snoopy 是更轻量级的解决方案,因为它不需要内核协作。所需要的只是动态加载程序 (dl),它预加载 snoopy 库,其路径在/etc/ld.so.preload.

披露:我是当前的史努比维护者。

归档时间:

查看次数:

21287 次

最近记录:

4 年,4 月 前
相关归档
监视整个目录(甚至是新目录)中的文件(à la tail -f) 62
如何在特定用户的 auth.log 中停止 sudo PAM 消息? 22
如何将 find 找到的文件作为参数传递? 9
我可以避免在系统日志中出现 debian-sa1 行吗? 9
CPU 停留在 99% 几个小时:找出日志 8
使用 /proc/stat 获取系统上运行的进程数 8
日志文件是如何命名的? 5
如何跟踪/记录在 shell 上执行的命令? 4
基于脚本的服务将具有优先级的消息记录到其自己的 systemd 日志中的正确方法是什么? 4
将值列表传送到 bash 脚本 4
难疑归档
为什么*不*解析`ls`(以及该怎么做)? 249
如何在 cli 上将纪元时间戳转换为人类可读的格式? 249
查看所有 iptables 规则 171
bash 的历史存储在哪里? 130
如何在 Linux 中找到硬件型号? 127
SED:在最后一行后插入文本? 98
为什么 Linux 的文件系统被设计为单个目录树? 93
终端的硬盘序列号? 93
如何检测 shell 是否由 SSH 控制? 87
修复或替代 OS X 中的 mktemp 85