Команда autrace
добавляет правила аудита для того, чтобы следить за использованием системных вызовов в указанном процессе подобно тому, как это делает strace.
После добавления правил, команда autrace
запускает процесс с указанными аргументами. Результаты аудита будут находиться либо в логах аудита (если служба аудита запущена), либо в системных логах. Команда autrace
устроена так, что удаляет все предыдущие правила аудита, перед тем как запустить указанный процесс и после его завершения. Поэтому, в качестве дополнительной меры предосторожности, программа не запустится, если перед её использованием правила не будут удалены с помощью команды audtictl
— об этом известит предупреждающее сообщение.
Синтаксис команды:
autrace [-r] процесс [аргументы]
Опция -r
позволяет ограничить сбор информации о системных вызовах только теми, которые необходимы для анализа использования ресурсов. Это может быть полезно при моделировании внештатных ситуаций, и позволяет уменьшить нагрузку на журналы.
Примеры использования:
обычное использование программы:
# autrace /bin/ls /tmp
# ausearch --start recent -p 2442 -i
режим ограниченного сбора информации:
# autrace -r /bin/ls
# ausearch --start recent -p 2450 --raw | aureport --file --summary
# ausearch --start recent -p 2450 --raw | aureport --host –summary