LINUX.ORG.RU

Ответ на: комментарий от Pinkbyte

а чем они отличаются? мне нужна поддержка tmpfs.
в описании к auditd мне непонятна фраза "It's responsible for writing audit records to the disk"

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

Это разные вещи.

Читни вот это по auditd.

Насколько я понимаю, inotify-ем проще смотреть за какой-то директорией или группой директорий, а вот auditd можно заставить логировать вообще всё. Главное в логах не утонуть :-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

запустил inotifywatch -r /, он проработал несколько секунд, я не спешил перекличаться в новую вкладку терминала и ничего не успел сделать; он сообщил ... upper limit on inotify watches reached!
сделал

for a in /proc/sys/fs/inotify/max_*;do printf 0 >$a;done

думал нулём задать неограничкнное количество, а теперь он вообще ругается.

можно сделать, чтобы он неограниченно работал?

teod0r ★★★★★
() автор топика
Последнее исправление: teod0r (всего исправлений: 1)
Ответ на: комментарий от Harald

я не умею им пользоваться. как можно задать ему выводить только read/write вайлов для всех работающих в системе процессов?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

можно сделать, чтобы он неограниченно работал?

Насколько я знаю - нет

Pinkbyte ★★★★★
()
Ответ на: комментарий от teod0r

для всех нельзя, для одного только

хотя можно и для всех, если к каждому работающему процессу приаттачить и флаг, чтоб форки тоже отслеживались

Harald ★★★★★
()
Ответ на: комментарий от Harald

ТСу я так понял нужно логирование ВСЕХ действий в системе, а не только какой-то одной проги - тут strace не подойдет.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Harald

тормозить, наверное, будет

teod0r ★★★★★
() автор топика
Ответ на: комментарий от Harald

Я бы назвал это «неэлегантным удалением гланд через жопу». Плюс я думаю такая куча экземпляров strace нехило офигеет отслеживать форки - это если запускать на уже активной системе.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

имеет питоновские юз-флаги. написано на питоне? оно как вообще работает? парсит какие-то файлы в /proc или /sys? если да, то это неправильное решение, т.к. парсер имеет время, когда он в цикле не успеет сработать для быстрого эвэнта

teod0r ★★★★★
() автор топика
Последнее исправление: teod0r (всего исправлений: 1)
Ответ на: комментарий от teod0r

Ээээ... Ты ссылку что я тебе давал читал? audit-подсистема - это часть ЯДРА. userspace-пакет - это рулилка, которая говорит что логировать.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

запустил auditd

> auditctl -l
-a never,exit -F arch=b64 -S read,write,open,close
-a never,exit -F arch=b32 -S read,write,open,close
-w / -p rwxa

делаю touch /123456789, а в /var/log/audit/audit.log не появляется записи /123456789
ЧЯДНТ?

teod0r ★★★★★
() автор топика

Вам только со стороны понаблюдать? Если с перспективой перехвата доступа, то fanotify

vaddd ★☆
()
Ответ на: комментарий от Pinkbyte

Я так делал, вполне норм, правда лог лучше разместить в tmpfs.

anonymous
() 
iostat -xk -t 10

Утилита из пакета sysstat

dpronyaev
() 
#! /usr/bin/env stap

global reads, writes, total_io

probe vfs.read.return {
    reads[execname()] += bytes_read
}

probe vfs.write.return {
    writes[execname()] += bytes_written
}

# print top 10 IO processes every 5 seconds
probe timer.s(5) {
    foreach (name in writes)
        total_io[name] += writes[name]
    foreach (name in reads)
        total_io[name] += reads[name]
    printf ("%16s\t%10s\t%10s\n", "Process", "KB Read", "KB Written")
    foreach (name in total_io- limit 10)
        printf("%16s\t%10d\t%10d\n", name,
               reads[name]/1024, writes[name]/1024)
    delete reads
    delete writes
    delete total_io
    print("\n")
}

В более детальном виде iotime.stp

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin