首页 > 代码库 > Linux Audit log
Linux Audit log
Background:
linux操作系统 如果发现一个进程不明被杀掉 而且也不知道被哪一个进程杀掉的,如果我们不知道 可以通过
Configuration:
1). root登录并打开audit.rules文件,位于/etc/audit/文件夹下。
添加以下内容:
-a always,exit -F arch=b64 -S kill -k *wg934*
Note: 如果坏境是32位请 改为 -F arch=b32
*wg934* 只是后面的标记, 方面查看用的 没特别意思
2). 重启aduitd 服务
service auditd restart
3). 查看一个进程的进程号并记录下来, 当下次这个进程被杀掉后打开linux audit 日志查看在文件夹/var/log/audit下。
Test and Result:
1). sleep 一个长时间进程 22303 之后kill掉
[root@BJHS23A-changme audit]#
[root@BJHS23A-changme audit]# sleep 9999999&
[1] 22303
[root@BJHS23A-changme audit]# kill -9 22303
[1]+ Killed sleep 9999999
[root@BJHS23A-changme audit]#
linux里面可以看到: opid = objective pid 被杀的目标PID
?其中syscall=62 为什么是kill 还没弄清楚
type=SYSCALL msg=audit(1420632793.383:1410163): arch=c000003e syscall=62 success=yes exit=0 a0=571f a1=9 a2=0 a3=0 items=0 ppid=23986 pid=24009 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="bash" exe="/bin/bash" key="*wg934*"
type=OBJ_PID msg=audit(1420632793.383:1410163): opid=22303 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"
使用脚本去kill 一个进程同样会被记录下来:
root@BJHS23A-changme audit]# sleep 999999 &
[1] 714
[root@BJHS23A-changme audit]# python 1.py &
[2] 1390
[root@BJHS23A-changme audit]# vim audit.log
[1]- Killed sleep 999999
1.py
import os import timepid=‘714‘command=‘kill -9‘ + pidos.popen(command)time.sleep(100000000)
type=SYSCALL msg=audit(1420635463.926:1419473): arch=c000003e syscall=62 success=yes exit=0 a0=2ca a1=9 a2=0 a3=0 items=0 ppid=1390 pid=1391 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="sh" exe="/bin/bash" key="*wg934*"
type=OBJ_PID msg=audit(1420635463.926:1419473): opid=714 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"
Linux Audit log