系统调用日志收集系统

最新推荐文章于 2023-12-15 23:42:25 发布
最新推荐文章于 2023-12-15 23:42:25 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: linux编程基础 文章标签: linux kernel
1,系统调用日志收集系统的意义。
       系统调用是用户获取系统服务的唯一入口,因此对系统调用的安全调用直接关系到系统
的安全,假如有用户恶意不断地调用系统调用,将会导致系统负载增加,所以如果能收集到时谁
调用了一些危险的系统调用,以及调用系统调用的时间和其他信息,将有助于系统管理员进行事
后追踪,从而提高系统的安全性。
--------------------------------------------------------------
2,系统调用日志收集系统总体框架图。
 
-----------------------------------------------------------
3,系统调用日志收集系统的实现。(以linux-2.6..39.4为例)

        3.1,添加系统调用号.
         位置:arch/x86/include/asm/unistd_32.h
        #define  __NR_syscall_audit   345
        #define  __NR_myaudit         346
        #ifdef   __KERNEL__

        #define  NR_syscalls    347
---------------------------------------------------------- 
       3.2,在系统调用表中添加相应的表项。
        .long    sys_syscall_audit
        .long    sys_myaudit
-----------------------------------------------------------
       3.3,修改系统调用入口。(有两个入口,syscall_call和sysenter)
        位置:arch/x86/kernel/entry_32.S
        主要是在系统调用的两个入口进行监控,发现调用了如下四个系统调用(getpid,sysinfo,fork,execv)
将会执行 sys_syscall_audit函数

  1. syscall_call:
  2.     call *sys_call_table(,%eax,4)
  3.     movl %eax,PT_EAX(%esp)        # store the return value
  4. #如下位添加代码
  5. #----------------------------------------------------
  6.     cmpl $20,0x2c(%esp) #getpid()
  7.     je myauditsys
  8.     cmpl $116,0x2c(%esp) #sysinfo()
  9.     je myauditsys
  10.     cmpl $2,0x2c(%esp) #fork
  11.     je myauditsys
  12.     cmpl $11,0x2c(%esp) #execv
  13.     je myauditsys
  14. #-----------------------------------------------
  1. syscall_exit:
  2.     LOCKDEP_SYS_EXIT
  3.     ...
  4.     jne syscall_exit_work
  5. #如下位添加代码
  6. #------------------------------------------------
  7.     jmp restore_all
  8. myauditsys:
  9.     pushl %eax
  10.     pushl 0x30(%esp)
  11.     call sys_syscall_audit
  12.     popl %eax
  13.     popl %eax
  14.     jmp syscall_exit
  15. #------------------------------------------------
  16. restore_all:
  17.     TRACE_IRQS_IRET
  1. sysenter_do_call:
  2.     ...
  3.     movl %eax,PT_EAX(%esp)
  4.    #如下为添加代码
  5. /*--------------------------------------------------------*/
  6.     cmpl $20,0x2c(%esp) #getpid()
  7.     je enter_audit 
  8.     cmpl $116,0x2c(%esp) #sysinfo()
  9.     je enter_audit
  10.     cmpl $2,0x2c(%esp) #fork
  11.     je enter_audit
  12.     cmpl $11,0x2c(%esp) #execv
  13.     je enter_audit
  14. come_back:
  15. /*--------------------------------------------------------*/
  1. sysenter_exit:
  2.     ....
  3.     ENABLE_INTERRUPTS_SY***IT
  4. /*--------------------------------------------------------*/
  5.     jmp sysenter_audit 
  6. enter_audit:
  7.     pushl %eax
  8.     pushl 0x30(%esp)
  9.     call sys_syscall_audit
  10.     popl %eax
  11.     popl %eax
  12.     jmp come_back
  13. /*--------------------------------------------------------*/
--------------------------------------------------------------------------------------------
       3.4,添加系统调用的服务例程。
      在arch/x86/kernel/下面添加文件myaudit.c
    该文件中实现了系统调用的服务例程,但这儿实现的服务例程都只有一个接口,
真正的实现将在模块中实现,这样是为了方便调试,避免了多次编译内核。这儿主要
是通过两个全局变量( my_audit my_sysaudit )与内核模块之间建立了联系。

  1. /**
  2.  * myaudit.
  3.  */

  5. #include <linux/proc_fs.h>
  6. #include <linux/init.h>
  7. #include <linux/types.h>
  8. #include <linux/sched.h>
  9. #include <asm/current.h>

  11. void (*my_audit)(int, int) = 0;

  13. asmlinkage void sys_syscall_audit(int syscall_number, int return_value)
  14. {
  15.     if (my_audit) {
  16.         return (*my_audit)(syscall_number, return_value);
  17.         printk("IN KERNEL: %s(%d), syscall: %d, return: %d\n", current->comm, (int)current->pid, syscall_number, return_value);
  18.         //printk("IN KERNEL: %s\n", current);
  19.     } else {
  20.         printk("my_audit is empty!\n");
  21.     }
  22.     return ;
  23. }

  25. int (*my_sysaudit)(u8, u8*, u16, u8) = 0;

  27. asmlinkage int sys_myaudit(u8 type, u8 *us_buf, u16 us_buf_size, u8 reset)
  28. {
  29.     if (my_sysaudit) {
  30.         return (*my_sysaudit)(type, us_buf, us_buf_size, reset);
  31.         printk("IN KERNEL: my system call sys_myaudit() working...\n");
  32.     } else {
  33.         printk("my_sysaudit is empty!\n");
  34.     }
  35.     return 0;
  36. }
----------------------------------------------------------------------------------------------
       3.5,修改makefile。位置:arch/x86/kernel/Makefile
 
  1. obj-y            := process_$(BITS).o signal.o entry_$(BITS).myaudit.o
----------------------------------------------------------------------------------------------
       3.6,导出全局变量。(不导出的话,内核模块将对其不可见)
            修改arch/x86/kernel/i386_ksyms_32.c文件,在其末尾追加:

  1. EXPORT_SYMBOL(my_audit);
  2. EXPORT_SYMBOL(my_sysaudit);
----------------------------------------------------------------------------------------------
        3.7,声明全局变量。
             修改:include/linux/module.h 添加:

  1. extern void (*my_audit)(int,int);
  2. extern int (*my_sysaudit)(u8,u8*,u16,u8);



接系统调用日志收集系统 (1)
---------------------------------------------------------------
3.8重新编译内核。
     如何编译内核就不再说了。
----------------------------------------------------------------
3.9插入模块。

  1. #include <linux/module.h>
  2. #include <linux/init.h>
  3. #include <linux/kernel.h>
  4. #include <linux/types.h>
  5. #include <asm/current.h>
  6. #include <linux/sched.h>
  7. #include <asm/uaccess.h>

  9. #define COMM_SIZE 16

  11. struct syscall_buf {
  12.     u32 serial;
  13.     u32 ts_sec;
  14.     u32 syscall;
  15.     u32 status;
  16.     pid_t pid;
  17.     uid_t uid;
  18.     u8 comm[COMM_SIZE];
  19. };

  21. //初始化一个队列buffer_wait
  22. DECLARE_WAIT_QUEUE_HEAD(buffer_wait);

  24. #define AUDIT_BUF_SIZE 100
  25. //长度为100的缓冲区。
  26. static struct syscall_buf audit_buf[AUDIT_BUF_SIZE];
  27. static int current_pos = 0;//缓冲区中的位置.
  28. static u32 serial = 0;//序列号

  30. void write_buf_audit(int syscall,int return_value)
  31. {
  32.     struct syscall_buf *ppb_tmp;
  33.     printk("write_buf_audit is execing!\n");
  34.     if (current_pos < AUDIT_BUF_SIZE) {
  35.         ppb_tmp = &audit_buf[current_pos];
  36.         ppb_tmp->serial = serial++;
  37.         ppb_tmp->ts_sec = 1;
  38.         ppb_tmp->syscall = syscall;
  39.         ppb_tmp->status = return_value;
  40.         ppb_tmp->pid = current->pid;
  41.         ppb_tmp->uid = current->tgid;
  42.         memcpy(ppb_tmp->comm,current->comm,COMM_SIZE);

  44.         if (++current_pos == AUDIT_BUF_SIZE *1/10) {
  45.          printk("in syscall_audit,it near full!\n");
  46.                 wake_up_interruptible(&buffer_wait);
  47.         }
  48.     }
  49.     return ;
  50. }

  52. int read_buf_audit(u8 type,u8 *us_buf,u16 us_buf_size,u8 reset)
  53. {
  54.     int ret = 0;
  55.     printk("read_buf_audit is execving!\n");
  56.     if (!type) {
  57.         if (clear_user((void *)us_buf, (unsigned long)us_buf_size)) {
  58.             printk("error:clear_user!\n");
  59.             return 0;
  60.         }
  61.         ret= wait_event_interruptible(buffer_wait,current_pos >= AUDIT_BUF_SIZE*1/10);
  62.         if (copy_to_user((void *)us_buf,audit_buf,(current_pos)*sizeof(struct syscall_buf))) {
  63.             printk("error:copy error!\n");
  64.             return 0;
  65.         }
  66.         ret = current_pos;
  67.         current_pos = 0;
  68.     }
  69.     return ret;
  70. }

  72. static int __init audit_init(void)
  73. {
  74.     my_audit = write_buf_audit;
  75.     my_sysaudit = read_buf_audit;
  76.     printk("starting syscall audit!\n");
  77.     return 0;
  78. }

  80. static void __exit audit_exit(void)
  81. {
  82.     my_audit = NULL;
  83.     my_sysaudit = NULL;
  84.     printk("exiting syscall audit!\n");
  85.     return ;
  86. }

  88. module_init(audit_init);
  89. module_exit(audit_exit);
  90. MODULE_LICENSE("GPL");
------------------------------------------------------------------------------------------------------
3.10,启动用户测试程序。
 
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <errno.h>
  4. #include <signal.h>
  5. #include <unistd.h>
  6. #include <sys/syscall.h>
  7. #include <sys/types.h>

  9. typedef unsigned char u8;
  10. typedef unsigned int u32;

  12. #define COMM_SIZE 16

  14. struct syscall_buf {
  15.     u32 serial;
  16.     u32 ts_sec;
  17.     u32 syscall;
  18.     u32 status;
  19.     pid_t pid;
  20.     uid_t uid;
  21.     u8 comm[COMM_SIZE];
  22. };

  24. #define AUDIT_BUF_SIZE 100*sizeof(struct syscall_buf)

  26. int main(int argc, char *argv[])
  27. {
  28.     u8 col_buf[AUDIT_BUF_SIZE];
  29.     unsigned char reset = 1;
  30.     int num = 0;
  31.     struct syscall_buf *= NULL;
  32.     u8 j = 0;
  33.     int i;

  35.     while (1) {
  36.         num = syscall(346, 0, col_buf, AUDIT_BUF_SIZE, reset);
  37.         printf("num is: %d\n", num);
  38.         p = (struct syscall_buf *)col_buf;
  39.         for (= 0; i < num; i++) {
  40.             printf("serial: %d ", p[i].serial);
  41.             printf("syscall: %d ", p[i].syscall);
  42.             printf("ts_sec: %d ", ((struct syscall_buf *)col_buf)[i].ts_sec);
  43.             printf("status: %d ", p[i].status);
  44.             printf("pid: %d ", ((struct syscall_buf *)col_buf)[i].pid);
  45.             printf("uid: %d ", ((struct syscall_buf *)col_buf)[i].uid);
  46.             printf("comm: %s\n", ((struct syscall_buf *)col_buf)[i].comm);
  47.         }

  49.         putchar('\n');
  50.     }

  52.     return 0;
  53. }
--------------------------------------------------------------------------------------------------------
3.11,其中用户触发程序。(向内核不断地申请系统调用)

  1. #include <stdio.h>
  2. #include <unistd.h>
  3. #include <sys/sysinfo.h>

  5. int main(void)
  6. {
  7.     struct sysinfo info;
  8.     unsigned long value = 0;
  9.     int i = 0;

  11.     while (1) {
  12.     sysinfo(&info);
  13.     printf("sysinfo is execving!\n");
  14.     value = (unsigned long)getpid(); 
  15.     printf("pid = %lu\n",value);
  16.     sleep(1);
  17.     }
  18.     return 0;
  19. }
----------------------------------------------------------------------------------------------------------------
感想:
          经过几天的时间调试这个程序,最终还是调试通过了,收获还是蛮大的,这个程序中
既要内核编程,还有编写内核模块,还要编写用户态程序。内核态和用户态协调合作。当然
在其中也出现了不少问题,开始我们就没有考虑到sysenter,结果导致使用库函数,对内核
就没有触发,只能使用int 0x80,直接在用户态使用汇编或嵌入汇编才能对其触发。后来把
sysenter这条路“堵死”就好了。
------------------------------------------------------------------------------------------------------------------


sdulibh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统调用捕获和分析—完结篇制作系统调用日志收集系统
H4ppyD0g的博客
07-24 327
linux系统调用日志收集系统
一种基于Thrift的日志收集分析系统_周康.pdf
05-19
【Thrift日志收集系统】是一种为了解决在PaaS(Platform as a Service)平台上日志管理和分析问题的解决方案。传统的日志系统通常将记录存储在本地文件中,然后使用特定的日志分析程序进行处理。然而,PaaS平台上的...
系统调用日志收集系统实例
qq_32828145的博客
11-29 2909
1 介绍实验环境Ubuntu64位,系统自带内核版本为4.10.0, 实验使用版本为4.13.1。系统调用日志收集系统的结构图2 实验1.添加系统调用将myaudit.c文件添加到arch/x86/kernel/目录下 myaudit文件#include <linux/uaccess.h> #include <linux/proc_fs.h> #include <linux/init.h> #in
Linux日志(实用版)
d18631089566的博客
08-08 6645
monthly //每月切割 create 0664 root utmp //切割完成之后,这个文件的权 限,以及属主和属组是谁 minsize 1M //文件超过1M之后才切割,这表示即便过了1个月, 大小没到1M,也不切割 rotate 1 //保留1个。prefotate //切割之前,执行脚本时间参数 daily //每天 weekly //每周 mounthly //每月 yearly //每年 rotate count //保存几份。create //旧日志切割后,源文件是否生成新的日志
两种方式实现日志模块调用
笔记记录
03-07 527
方式一: 1.封装日志模块并调用,read_log 代码示例: import logging import time import colorlog import logging.handlers # 控制台输出日志颜色设置 colors_log = { 'DEBUG': 'white', 'INFO': 'cyan', 'WARNING': 'yellow', 'ERROR': 'red', 'CRITICAL': 'bold_red', } class Log(o
在 Java 中使用Log4j/Logback进行日志记录和调试
小易
09-04 757
Log4j是一个Java日志框架,它允许开发人员记录应用程序中发生的事件。它具有非常灵活的配置选项,可以将日志消息发送到不同的目标(如文件、控制台、数据库、syslog等)并使用各种格式进行格式化。Log4j是Apache Software Foundation的一个开源项目,现在已经发布了多个版本,最新的版本是Log4j 2.x。在本篇中,我们介绍了如何使用Log4j进行Java应用程序的日志记录和调试。我们首先介绍了Log4j的基础知识,包括Logger、Level和Appender等概念。
linux dmesg日志通过系统调用获取
最新发布
01-29
`dmesg`日志是通过系统调用获取的,这涉及到Linux内核与用户空间交互的核心机制。下面将详细阐述这一过程及其相关知识点。 1. **系统调用**:系统调用是用户程序与操作系统内核交互的主要方式。当用户空间的程序...
SSH日志管理系统
07-06
在这个项目中,SSH框架被用来实现系统日志收集、存储、查询和分析功能,旨在帮助管理员监控和诊断系统运行状态。 Spring框架作为基础架构层,负责管理应用的组件和服务,提供依赖注入(DI)和面向切面编程(AOP...
Linux系统日志收集工具.rar
05-19
执行前,确保使用`sudo`或以root用户身份运行,以确保所有必要的系统调用都能成功执行。 使用日志收集工具的主要好处包括: 1. **集中管理**: 能够在一个地方查看来自多个服务器的日志,便于统一管理和分析。 2. *...
日志记录系统
01-14
在IT领域,日志记录系统是至关重要的工具,它用于收集、存储和分析应用程序或系统在运行过程中的事件和异常信息。这样的系统可以帮助开发者诊断问题,优化性能,并且在出现问题时提供关键的追踪线索。本项目名为...
通过系统日志采集大数据
01-07
许多公司的平台每天都会产生大量的日志,并且一般为流式数据,如搜索引擎的 pv 和查询等。处理这些日志需要特定的日志系统,这些系统需要具有以下特征。 构建应用系统和分析系统的桥梁,并将它们之间的关联解耦。 支持近实时的在线分析系统和分布式并发的离线分析系统。 具有高可扩展性,也就是说,当数据量增加时,可以通过增加结点进行水平扩展。 目前使用最广泛的、用于系统日志采集的海量数据采集工具有 Hadoop 的 Chukwa、ApacheFlumeAFacebook 的 Scribe 和 LinkedIn 的 Kafka 等。 以上工具均采用分布式架构,能满足每秒数百 MB 的日志数据采集和传输需求。
查看日志命令
tmax52HZ的博客
09-24 406
常用查看日志的命令
Java开发中日志的使用
qq_33274797的博客
11-12 86
1.JDK的Logging日志 Java标准库内置了日志包java.util.logging。 JDK的Logging定义了7个日志级别,从严重到普通: SEVERE WARNING INFO CONFIG FINE FINER FINEST 因为默认级别是INFO,因此,INFO级别以下的日志,不会被打印出来。使用日志级别的好处在于,调整级别,就 可以屏蔽掉很多调试相关的日志输出。 注意: JDK的Logging日志在开发中不常用,这里只是简单提及。 2.Commons Logging.
分布式微服务架构日志调用链路跟踪-traceId
shengfq的技术博客专栏
12-15 839
每个前端请求里面,都会在request的header区携带一个traceId 随机数值,用来跟踪在后端的调用链路栈打印.通过ES收集日志数据,在ELK日志集成平台里,用traceId就能得到用户请求的完整链路,排查问题的效率非常高.那么具体是怎么设计的?
Java实战 | 抓取方法调用栈中的内存日志(干货)
BurukeYou
04-27 1001
如果你想在某个类的某个方法的执行时动态获取其内部打印的日志信息到内存中该如何获取? 这篇文章告诉你答案,含全部代码
java日志记录功能(对外接口追踪整个调用过程)
later_home的博客
07-26 1116
【代码】java日志记录功能(对外接口追踪整个调用过程)
springboot 自定义注解 ,aop切面@Around; 为接口实现日志插入【强行喂饭版】
北海_南风
07-26 2595
思路:aop切面使用`@Around`来控制目标方法的执行。 既然是日志表的话,那么需要 `获取方法(接口)的参数`,`方法名`,`方法执行结果`,`方法执行时间`,`调用者的ip`,根据ip地址查询位置信息
OpenFeign——日志调用
contact97的博客
12-04 2147
Feign提供了日志打印功能,我们可以通过配置来调整日志级别,从而了解Feign中Http请求的细节。说白了就是对Feign接口调用情况的监控和输出 openfeign 日志 Feign日志级别: BASIC log信息包含请求方法,请求URL,响应时间 FULL 请求+请求body+返回数据 HEADERS 请求头+基本请求信息 NONE:默认不打印 FeignClient日志配置方式 1 全局配置 @Configuration public class FeignConfig { @Bea
auditctl (转)
weixin_33834628的博客
06-28 695
一.audit介绍 audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程auditctl ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值