Утилита autrace#

Утилита autrace используется для добавления правил аудита, которые позволяют отслеживать процесс выполнения программы. После добавления правил запускает заданную программу с передачей ей аргументов. Результаты аудита будут записаны в соответствующие журналы.

autrace удаляет все правила аудита перед выполнением целевой программы и после ее завершения. Она не будет работать, если правила не будут удалены с помощью auditctl (см. Утилита auditctl) перед ее использованием, о чем уведомит предупреждающее сообщение.

После выполнения целевой программы утилита выводит сообщение с указанием PID программы, что позволяет находить связанные сообщения аудита.

Синтаксис autrace:

autrace <program> <option> <program-args>

Где:

• <program> - программа;

• <command> - опция - -r;

• <command_options> - аргументы заданных программ.

Опция утилиты - -r - ограничивает количество собранных системных вызовов теми, которые необходимы для анализа использования ресурсов, что экономит место в журналах.

Примеры использования#

• Для отслеживания событий утилиты df и запуска ее с опцией -h введите команду:

  autrace /bin/df –h
  

  Где:

  • /bin/df - расположение файла для запуска df, отображающей отчет об использовании пространства файловой системы;

  • –h - опция df, указывающая на вывод информации в человекочитаемом формате.

• Для отслеживания событий утилиты ls, необходимых для анализа использования ресурсов, а также запуска ее с аргументом /home введите команду:

  autrace -r /bin/ls /home
  

  Где:

  • /bin/ls - расположение файла для запуска ls (подробнее см. в Утилита ls);

  • /home - аргумент ls, указывающий на каталог, в котором необходимо выполнить команду.