process logger

Debian GNU/Linux

process logger

  • 764 megtekintés

( Névtelen (nem ellenőrzött) | 2004. 05. 18., k – 17:36 )

Erre valo a process accounting, amit alapbol tud a kernel, csak bele kell forditani.

"What is process accounting?
Process accounting is the method of recording and summarizing commands executed on Linux. The modern Linux kernel is capable of keeping process accounting records for the commands being run, the user who executed the command, the CPU time, and much more.

Process accounting enables you to keep detailed accounting information for the system resources used, their allocation among users, and system monitoring. "

( Névtelen (nem ellenőrzött) | 2004. 05. 18., k – 17:38 )

Erre valo a process accounting, amit alapbol tud a kernel, csak bele kell forditani.

"What is process accounting?
Process accounting is the method of recording and summarizing commands executed on Linux. The modern Linux kernel is capable of keeping process accounting records for the commands being run, the user who executed the command, the CPU time, and much more.

Process accounting enables you to keep detailed accounting information for the system resources used, their allocation among users, and system monitoring. "

( gdavid v | 2004. 05. 17., h – 15:57 )

Hi!

akadt egy kis problemam, miszerint egy process logger kene nekem.
ami figyeli, hogy ki-mi milyen processzt inditott el, mikor, milyen piddel, milyen sig-vel lepett ki, mi volt a process utvonala es parameterei.

nem tud valaki ilyesmirol?

elore is kosz

D.

( vmiklos | 2004. 05. 17., h – 16:07 )

ha végképp nem találsz semmit:
while /bin/true; do ls -Rl /proc >>log;sleep 10m; done
vagy valami ilyesmi :D

( gdavid v | 2004. 05. 17., h – 16:13 )

kosz, de ennel mar egy top -b -n 1 is jobban megteszi masodpercenkent.
de ez nem az igazi meg mindig.
mert igy is kiesik eleg sok minden es rengeteg felesleges info keletkezik.
igy nem tudom meg a kilepesi signalt, hogy ki vagy mi inditotta, szoval olyan kene, ami elkapja a futtatas elott, es bejegyzi egy logfileba a a fent megadott jellemzoket, majd elinditja. tehat gyanitom ehhez valami rendszer-szintu beavatkozas kell.

talan valami kernel-patch, vagy modul.

thx

D.

( borso | 2004. 05. 17., h – 16:26 )

Hi!

akadt egy kis problemam, miszerint egy process logger kene nekem.
ami figyeli, hogy ki-mi milyen processzt inditott el, mikor, milyen piddel, milyen sig-vel lepett ki, mi volt a process utvonala es parameterei.

Windows ala sajnos otletem, de ha linuxra kellene:

Mintha standard grsec-ben is volna ra lehetoseg.
De vannak mas kernel based megoldasok, google around it.
Ha csak debugolasra hasznalnad, nem auditra akkor inkabb
egy user space based megoldast javasolnek ami overloadolja
az execve()-t.

A kerdes masodik fele szinten grsec (megmondja ki mikor kitol milyen
signalt kapott) es acct.

( zsirfeka | 2004. 05. 17., h – 16:33 )

[quote:801ab7cd97="gdavid"]Hi!

akadt egy kis problemam, miszerint egy process logger kene nekem.
ami figyeli, hogy ki-mi milyen processzt inditott el, mikor, milyen piddel, milyen sig-vel lepett ki, mi volt a process utvonala es parameterei.

nem tud valaki ilyesmirol?

elore is kosz

D.

nem irtad, hogy milyen szisztemre, de ha linux, akkor grsecurityban vannak eleg jo auditing funkciok.
CONFIG_GRKERNSEC_EXECLOG (minden execve() hivast naploz)CONFIG_GRKERNSEC_AUDIT_IPC (ipc esemenyek nyomonkovetese)CONFIG_GRKERNSEC_SIGNAL (fontosabb szignalok naplozasa)

ezen tul meg erdekes lehet a CONFIG_GRKERNSEC_RESLOG (resource limitek atlepese), CONFIG_GRKERNSEC_CHROOT_EXECLOG (chroot-on beluli programvegrehajtasok), CONFIG_GRKERNSEC_AUDIT_CHDIR (chdir() hivasok), CONFIG_GRKERNSEC_AUDIT_MOUNT ((un)mountolasok naplozasa)

persze ez eleg sok info, amit fel is kell dolgozni

( zsirfeka | 2004. 05. 17., h – 16:36 )

[quote:0a2f6c4805="borso"][quote:0a2f6c4805="gdavid"]Hi!

akadt egy kis problemam, miszerint egy process logger kene nekem.
ami figyeli, hogy ki-mi milyen processzt inditott el, mikor, milyen piddel, milyen sig-vel lepett ki, mi volt a process utvonala es parameterei.

Windows ala sajnos otletem, de ha linuxra kellene:

Mintha standard grsec-ben is volna ra lehetoseg.
De vannak mas kernel based megoldasok, google around it.
Ha csak debugolasra hasznalnad, nem auditra akkor inkabb
egy user space based megoldast javasolnek ami overloadolja
az execve()-t.

A kerdes masodik fele szinten grsec (megmondja ki mikor kitol milyen
signalt kapott) es acct.

userspace-bol overloadolni az execve()-t? lehet, hogy rosszul tudom, de ez nemigen fog menni... kernelmodulbol esetleg

( Névtelen (nem ellenőrzött) | 2004. 05. 17., h – 22:59 )

[quote:dcf24efe3c="zsirfeka"][quote:dcf24efe3c="borso"][quote:dcf24efe3c="gdavid"]Hi!

akadt egy kis problemam, miszerint egy process logger kene nekem.
ami figyeli, hogy ki-mi milyen processzt inditott el, mikor, milyen piddel, milyen sig-vel lepett ki, mi volt a process utvonala es parameterei.

Windows ala sajnos otletem, de ha linuxra kellene:

Mintha standard grsec-ben is volna ra lehetoseg.
De vannak mas kernel based megoldasok, google around it.
Ha csak debugolasra hasznalnad, nem auditra akkor inkabb
egy user space based megoldast javasolnek ami overloadolja
az execve()-t.

A kerdes masodik fele szinten grsec (megmondja ki mikor kitol milyen
signalt kapott) es acct.

userspace-bol overloadolni az execve()-t? lehet, hogy rosszul tudom, de ez nemigen fog menni... kernelmodulbol esetleg

jaja, ahhoz szerintem is kene kernelmodul vagy meg lehet pocsolni a kernelt... de amint latszik ilyeneket itt meg senki nem latott ami erre a celra van :)

( buga v | 2004. 05. 17., h – 23:12 )

[quote:2db26ed1c8="zsirfeka"]
userspace-bol overloadolni az execve()-t? lehet, hogy rosszul tudom, de ez nemigen fog menni... kernelmodulbol esetleg

ld preload-dal miert ne lehetne?

( borso | 2004. 05. 17., h – 23:12 )

Hi!
userspace-bol overloadolni az execve()-t? lehet, hogy rosszul tudom, de ez nemigen fog menni... kernelmodulbol esetleg

A libc fuggvenyre gondoltam ami meghivja a syscallt. Azt lehet
overloadolni ld.so.preload-bol is.

( gdavid v | 2004. 05. 18., k – 13:43 )

Koszi a valaszokat.
jah igen nem irtam az os-t.
linux, debian, sid

nem audit-ra kene, hanem debug-log.
jah es eles rendszerbe.

azert tovabbi otleteket is szivesen fogadok.

D.

ui: van ember aki Debian GNU/Linux supportos topic-ba irna WinSuxx-os kerdest?

( zsirfeka | 2004. 05. 18., k – 15:16 )

[quote:b2f56ba018="borso"][quote:b2f56ba018="gdavid"]Hi!
userspace-bol overloadolni az execve()-t? lehet, hogy rosszul tudom, de ez nemigen fog menni... kernelmodulbol esetleg

A libc fuggvenyre gondoltam ami meghivja a syscallt. Azt lehet
overloadolni ld.so.preload-bol is.

oh. valo igaz, erre nem gondoltam