szolgáltatásfigyelés

Linux-kezdő

Hi!

Kicsit túl sok dolgot futtatnak a userek egy adott szerveren. Valamilyen módon lehet naplózni, hogy ki mikor mit indított el? On- the- fly? Nyílván lehetne mindig regexpelni a ps aux kimenetés, de nincs valami fifo, fájl, akármi, amit elég lenne mondjuk csak tail -f- fel figyelni? Ki hogy indulni el az adott problémán? Lehet, hogy más megközelítés célravezetőbb lenne, mondjuk beszélni a userekkel :- ), de a technikai része is nagyon érdekelne. Slackware és debian disztrókról van szó.

Köszi.

u. i.: Tudom, kell küldenem mindenkinek majd egy levelet, hogy a köv. 120 órában naplózni fogjuk, hogy mit indít, de az még odébb van, ha egyáltalán ez lesz a járható út.

  • 1135 megtekintés

( eax | 2008. 07. 04., p – 14:54 )

"Valamilyen módon lehet naplózni, hogy ki mikor mit indított el?"

Grsec exec logging, de ebben nem csak a szolgaltatasok lesznek benne.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Hi!

Nekem ez nem igazan akar mukodni. Felraktam a snoopy csomagot debian etch- en. Elolvastam a doksit. Aszerint annyi kellene, hogy a /etc/ld.so.preload fajlban benne legyen a /lib/snoopy.so. Nyomtam ldconfigot is, hatha :- ). Probaltam export LD_PRELOAD=/lib/snoopy.so- val is. A /lib/snoopy.so fajl letezik. /etc/init.d/sysklogd restart restartot is kapott. Gondolom a syslogba, vagy a messages fajlba kellene irnia mondjuk ha xtermben elinditok egy lynxet, de semmi. Vagy valamit nagyon felreertettem? :- ).

hm, na igen, azt tegnap nagyon lehagytam, hogy az install az micsoda? Persze, ott volt, hogy make, meg make install le kellene futtatni, de debian etch alatt nem is létezett az a snoopy.h header fájl, legalábbis a letöltött debben nem volt, és apt-file search sem ismerte.

Leírod hol hibáztam? Próbáltam guglizni is, de mindig az a kutya jött elő a barátaival, meg valami petri csészés progi, meg egy disztró.

Köszi.

Fogalmam nincs hol hibáztál :). apt-get install snoopy-val próbálkoztál? Vagy most a slackware-es install-al van gond?

Debian alatt felteszed a bináris csomagot, válaszolsz a kérdésre (a baloldalival, talán Yes), s onnan kezdve minden új process belinkeli a snoopy.so-t, ami löki logba az adatokat.

Elsőre azt olvastam, hogy kutya a barátaival, ..., meg egy _disznó_. :D

Nem találtam, de gondoltam megkérdezem, hátha tudsz lehetőségről, hogy korlátozzuk a kimenetet, vagy valahogyan szűrjünk. Pl. amikor elindítok egy xtermet, az generál 8 darab bejegyzést. Az első ebből az xterm, a többi pedig basedir, basename, sed, dircorols, és uname. Persze ha egy openoffice- ot indítok, számomra meglepően kevés (12db) bejegyzés keletkezik. Persze lehetne, hogy az ilyen alapdolgokra, basename, sed, stb. szűrök, de hátha van valami jobb megoldás.

Köszi.

( Husky v | 2008. 07. 04., p – 23:35 )


# /etc/init.d/acct start
 * Caching service dependencies ...  [ ok ]
 * Starting accounting ...           [ ok ]

# lastcomm 
ac                     root     stdin      0.00 secs Fri Jul  4 23:32
cat                    lighttpd ??         0.00 secs Fri Jul  4 23:32
cat                    lighttpd ??         0.00 secs Fri Jul  4 23:32
cron              F    root     ??         0.00 secs Fri Jul  4 23:32
sh               S     root     ??         0.00 secs Fri Jul  4 23:32
sensors_main           root     ??         0.00 secs Fri Jul  4 23:32
rrdtool                root     ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32
grep                   root     ??         0.00 secs Fri Jul  4 23:32
awk                    root     ??         0.00 secs Fri Jul  4 23:32
smartctl         S     root     ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32
grep                   root     ??         0.00 secs Fri Jul  4 23:32
awk                    root     ??         0.00 secs Fri Jul  4 23:32
smartctl         S     root     ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32
awk                    root     ??         0.00 secs Fri Jul  4 23:32
grep                   root     ??         0.00 secs Fri Jul  4 23:32
smartctl         S     root     ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32
awk                    root     ??         0.00 secs Fri Jul  4 23:32
grep                   root     ??         0.00 secs Fri Jul  4 23:32
smartctl         S     root     ??         0.00 secs Fri Jul  4 23:32
cron              F    root     ??         0.00 secs Fri Jul  4 23:32
sh               S     husky    ??         0.00 secs Fri Jul  4 23:32
ping6            S     husky    ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32
awk                    root     ??         0.00 secs Fri Jul  4 23:32
cat                    root     ??         0.00 secs Fri Jul  4 23:32
sensors_main      F    root     ??         0.00 secs Fri Jul  4 23:32

# /etc/init.d/acct stop
 * Stopping accounting ...    [ ok ]

A kernelben ilyen néven fut:
# grep BSD .config
CONFIG_BSD_PROCESS_ACCT=y
CONFIG_BSD_PROCESS_ACCT_V3=y