审计跟踪Linux的用户活动

　　分析:

　　. userhelper 是进程的命令名

　　. S和X是标志信息, 由系统记帐程序管理. 每一个标志的含义是:

　　.. S — 命令由超级用户执行

　　.. F — 命令由fork产生, 但是没有exec(执行)

　　.. D — 命令终止并创建一个core文件.

　　.. X — 命令被SIGTERM信号终止.

　　. vivek是执行命令的用户名

　　. prts/0 终端名

　　. 0.00 secs — 进程退出时间

　　你可以通过执行下面的命令来搜索进程记帐日志:

　　$ lastcomm rm

　　$ lastcomm passwd

　　输出:

　　[code]

　　rm S root pts/0 0.00 secs Tue Nov 14 00:39

　　rm S root pts/0 0.00 secs Tue Nov 14 00:39

　　rm S root pts/0 0.00 secs Tue Nov 14 00:38

　　rm S root pts/0 0.00 secs Tue Nov 14 00:38

　　rm S root pts/0 0.00 secs Tue Nov 14 00:36

　　rm S root pts/0 0.00 secs Tue Nov 14 00:36

　　rm S root pts/0 0.00 secs Tue Nov 14 00:35

　　rm S root pts/0 0.00 secs Tue Nov 14 00:35

　　rm vivek pts/0 0.00 secs Tue Nov 14 00:30

　　rm vivek pts/1 0.00 secs Tue Nov 14 00:30

　　rm vivek pts/1 0.00 secs Tue Nov 14 00:29

　　rm vivek pts/1 0.00 secs Tue Nov 14 00:29

　　[/code]

　　你可以通过终端名pts/1作为关键字来搜索进程记帐日志:

　　$ lastcomm pts/1

　　5). 统计记帐信息

　　你可以使用sa命令打印过去执行命令的统计信息. 另外, sa命令保存了一个叫做savacct文件, 文件包含了命令被调用的次数和资源使用的次数. sa还提供每一个用户的统计信息, 这些信息保存在一个叫做usracct的文件当中.

　　# sa

　　输出:

　　[code]

　　579 222.81re 0.16cp 7220k

　　4 0.36re 0.12cp 31156k up2date

　　8 0.02re 0.02cp 16976k rpmq

　　8 0.01re 0.01cp 2148k netstat

　　11 0.04re 0.00cp 8463k grep

　　18 100.71re 0.00cp 11111k ***other*

　　8 0.00re 0.00cp 14500k troff

　　5 12.32re 0.00cp 10696k smtpd

　　2 8.46re 0.00cp 13510k bash

　　8 9.52re 0.00cp 1018k less

　　[/code]

　　以结果输出的第一行为例:

　　4 0.36re 0.12cp 31156k up2date

　　分析:

　　. 0.36re “实际时间” 单位为分钟.

　　. 0.12cp 系统和用户时间总数(CPU时间, 单位为分钟)

　　. 31156K 核心使用所占的平均CPU时间, 一个单元的大小为1K

　　. up2date 命令名

　　显示每一个用户:

　　# sa -u

　　输出:

　　[code]

　　root 0.00 cpu 595k mem accton

　　root 0.00 cpu 12488k mem initlog

　　root 0.00 cpu 12488k mem initlog

　　root 0.00 cpu 12482k mem touch

　　root 0.00 cpu 13226k mem psacct

　　root 0.00 cpu 595k mem consoletype

　　root 0.00 cpu 13192k mem psacct *

　　root 0.00 cpu 13226k mem psacct

　　root 0.00 cpu 12492k mem chkconfig

　　postfix 0.02 cpu 10696k mem smtpd

　　vivek 0.00 cpu 19328k mem userhelper

　　vivek 0.00 cpu 13018k mem id

　　vivek 0.00 cpu 13460k mem bash *

　　lighttpd 0.00 cpu 48240k mem php *

　　[/code]

　　上面了显示了每一个用户的进程数量和CPU时间数

　　# sa -m

　　输出:

　　[code]

　　667 231.96re 0.17cp 7471k

　　root 544 51.61re 0.16cp 7174k

　　vivek 103 17.43re 0.01cp 8228k

　　postfix 18 162.92re 0.00cp 7529k

　　lighttpd 2 0.00re 0.00cp 48536k

　　[/code]

　　6). 找出谁在占用CPU

　　你可以通过查看re, k, cp/cpu(见上面输出解释)时间来找出可疑的活动, 或某个用

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!