atop和audit对服务器进行监控

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量762 收藏
点赞数
分类专栏: 岁月云——大数据杂烩 岁月云——安全 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/warrah/article/details/112698503
版权

出现这个问题-bash: [: : integer expression expected,没有找到真正原因是什么,因为从监控没看到来自外部的攻击,下面的脚本已经验证过,也发现什么异常,但实地问题就出现了.ls、cat、vi、ll等命令全都执行不了
1
跟踪发现环境变量中文件被删掉了
2
如果同一个目录都是空的,还可以理解,但是/usr/bin目录下并不是所有都是空的
3
云厂商工程师,先将系统盘卸载掉,挂靠到没有问题的服务器上,进行跟进。到了新服务器上,这个磁盘就是数据盘了,里面很多东西就可以读写了。的确是个好的办法,之前没接触过,确实是个很好的经验。

由于主机重启进程和链接未见异常,对主机下面的目录进行检查,这个也是个很好的经验,可以看出高级运维工程师的工作思路

crontab -l 
var/spool/cron 
/etc/init.d 
/bin 
/usr/bin
/sbin 
/etc/password
/usr/local/bin/ 
/root 
/tmp 
/var/tmp

文件检查,未见异常,查看主机日志未见异常
bin目录文件被修改时间是15号11:21:24。history没有该时段操作记录,无法判断是如何被修改的
工程师的建议方案是安装atop和audit,进行监控。当下情况只能这样,发现问题并不可怕,因为他会让你成长,你不可能天生什么都会,那么从比你厉害的人身上可以学到丰富的经验。
1 atop
yum install -y atop安装很是简单,这里参考Linux atop 监控系统状态对atop命令的结果做一些说明
它的数据采集主要包括:CPU、内存、磁盘、网络、进程等,并且内容非常的详细,特别是当那一部分存在压力它会以特殊的颜色进行展示,如果颜色是红色那么说明已经非常严重了

当前情况,一切正常,就没什么可看的,以后有问题再追加。

[root@sp5 ~]# atop
ATOP - sp5                                            2021/01/16  12:22:28                                            ----x---------                                             7d16h41m46s elapsed
PRC | sys   55m35s  | user  10h20m  |               | #proc    147  | #trun      1  | #tslpi   273 |               |  #tslpu     0 |  #zombie    0 |  clones 104e5 |               |  #exit      0 |
CPU | sys       2%  | user      7%  | irq       0%  | idle    790%  | wait      0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu007 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu001 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu003 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu004 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu000 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu005 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu006 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
cpu | sys       0%  | user      1%  | irq       0%  | idle     99%  | cpu002 w  0%  | steal     0% |  guest     0% |               |  ipc notavail |  cycl unknown |  curf 2.60GHz |  curscal   ?% |
CPL | avg1    0.46  | avg5    0.32  |               | avg15   0.27  |               |              |  csw 466495e3 |  intr 46034e4 |               |               |  numcpu     8 |               |
MEM | tot    31.3G  | free   22.1G  | cache   6.5G  | dirty   0.4M  | buff  199.7M  | slab  327.3M |  slrec 291.5M |  shmem  16.6M |  shrss   0.0M |  vmbal   0.0M |  hptot   0.0M |  hpuse   0.0M |
SWP | tot     0.0M  | free    0.0M  |               |               |               |              |               |               |               |               |  vmcom   2.8G |  vmlim  15.6G |
LVM | gdata-lvData  | busy      0%  | read     269  |               | write  42349  | KiB/r     21 |  KiB/w     79 |  MBr/s    0.0 |  MBw/s    0.0 |               |  avq   108.14 |  avio 0.33 ms |
DSK |          vda  | busy      0%  | read   16139  |               | write 1088e3  | KiB/r     25 |  KiB/w     16 |  MBr/s    0.0 |  MBw/s    0.0 |               |  avq     4.25 |  avio 0.67 ms |
DSK |          vdb  | busy      0%  | read     535  |               | write   8394  | KiB/r     21 |  KiB/w    400 |  MBr/s    0.0 |  MBw/s    0.0 |               |  avq     7.81 |  avio 1.60 ms |
NET | transport     | tcpi 37938e3  | tcpo 52709e3  | udpi  135222  | udpo  135233  | tcpao 320192 |  tcppo   1953 |  tcprs  36385 |  tcpie     59 |  tcpor   2598 |  udpnp     10 |  udpie      0 |
NET | network       | ipi 39069675  | ipo 53290068  |               | ipfrw      0  | deliv 3907e4 |               |               |               |               |  icmpi 996440 |  icmpo      8 |
NET | eth0    ----  | pcki 39367e3  | pcko 53292e3  | sp    0 Mbps  | si  165 Kbps  | so  133 Kbps |  coll       0 |  mlti       0 |  erri       0 |  erro       0 |  drpi       0 |  drpo       0 |
NET | lo      ----  | pcki    7452  | pcko    7452  | sp    0 Mbps  | si    0 Kbps  | so    0 Kbps |  coll       0 |  mlti       0 |  erri       0 |  erro       0 |  drpi       0 |  drpo       0 |
                                                                           *** system and process activity since boot ***
  PID       SYSCPU       USRCPU        VGROW        RGROW        RDDSK        WRDSK       RUID           EUID           ST       EXC        THR       S       CPUNR        CPU       CMD         1/5
21902        7m58s        7h47m       616.6M       61012K           0K       576.8M       root           root           N-         -          5       S           4         4%       python3.8
 4692        1m50s       91m00s       404.1M       69204K           0K       707.3M       root           root           N-         -          2       S           0         1%       python3.8
 1552       17m12s       14m39s         1.2G       13440K        1144K       51072K       root           root           N-         -         17       S           2         0%       hostguard
 1151       48.10s       12m49s       581.6M       99560K           0K       349.2M       root           root           N-         -          4       S           4         0%       python3.8
  999        5m33s        6m25s        11.1G       200.6M       16544K       190.1M       root           root           N-         -         24       S           5         0%       java
  746        4m16s        2m08s       119.3M        1436K           8K          40K       root           root           N-         -          2       S           2         0%       wrapper
    9        5m32s       21.45s           0K           0K           0K           0K       root           root           N-         -          1       S           7         0%       rcu_sched
 2407       22.51s        4m41s       575.2M       93052K           0K       29448K       root           root           N-         -          4       S           6         0%       python3.8
24587       12.62s        3m02s       549.3M       67576K           0K       33244K       root           root           N-         -          4       S           0         0%       python3.8
  486        2m07s       59.96s       55532K        1080K          72K         1.6G       root           root           N-         -          2       S           1         0%       auditd
  658       76.05s       66.91s         1.5G       21852K        7984K       62260K       root           root           N-         -         24       S           4         0%       uniagent
28779       17.82s        1m55s       293.4M       46480K           0K         1.3G       root           root           N-         -          1       S           6         0%       scrapyd
  148        1m54s        0.00s           0K           0K           0K           0K       root           root           N-         -          1       S           2         0%       kauditd
 3422       11.92s       85.06s       560.7M       77796K           0K       12444K       root           root           N-         -          4       S           2         0%       python3.8
 1856       11.21s       80.11s       558.3M       75352K           0K       11084K       root           root           N-         -          4       S           2         0%       python3.8
  984       11.01s       72.93s       549.7M       67780K           0K       13836K       root           root           N-         -          4       S           1         0%       python3.8
10347       12.02s       67.66s       636.0M       84040K           0K       10916K       root           root           N-         -          5       S           6         0%       python3.8
23080       12.03s       67.47s       549.6M       67460K           0K       11516K       root           root           N-         -          4       S           0         0%       python3.8
22214       11.51s       60.57s       633.1M       78388K           0K       11796K       root           root           N-         -          5       S           4         0%       python3.8
24172       11.13s       60.22s       548.4M       64368K           0K       10940K       root           root           N-         -          4       S           4         0%       python3.8
 4237       11.17s       60.06s       556.1M       72568K           0K       11820K       root           root           N-         -          4       S           1         0%       python3.8
 1550       31.73s       38.57s       49044K        2052K           8K        2216K       root           root           N-         -          1       S           4         0%       hostguard
32598       11.07s       57.56s       550.1M       68408K           0K       10956K       root           root           N-         -          4       S           0         0%       python3.8
 2627       11.20s       55.45s       550.7M       67152K           0K       10424K       root           root           N-         -          4       S           6         0%       python3.8
 4344       11.06s       55.03s       550.1M       66776K           0K       10476K       root           root           N-         -          4       S           2         0%       python3.8
  743        9.28s       48.73s       560.8M       17524K        7828K          16K       root           root           N-         -          5       S           2         0%       tuned
  833       16.23s       11.98s       221.4M        8136K         840K        5296K       root           root           N-         -          3       S           0         0%       rsyslogd
  652       21.28s        4.48s       21672K        1252K         104K           0K       root           root           N-         -          1       S           2         0%       irqbalance
  319       20.73s        0.00s           0K           0K           0K         2.3G       root           root           N-         -          1       S           6         0%       jbd2/vda1-8
   33       20.09s        0.00s           0K           0K           0K           0K       root           root           N-         -          1       S           5         0%       migration/5
   23       20.02s        0.00s           0K           0K           0K           0K       root           root           N-         -          1       S           3         0%       migration/3
   43       19.99s        0.00s           0K           0K           0K           0K       root           root           N-         -          1       S           7         0%       migration/7
   13       19.82s        0.00s           0K           0K           0K           0K       root           root           N-         -          1       S           1         0%       migration/1

2 audit
因为遇到过命令没法用的,故而先将重要的目录做一下审计,这样可以跟踪什么被删除了。
使用 auditd 监控目录变化

# 一开始,你可以看到,什么规则都没有
[root@sp1 ~]# auditctl -l
No rules
# 这个目录下面有很多常规的命令,添加到审计中
auditctl -w /usr/bin -p wxa -k watch_usr_bin
auditctl -w /usr/sbin -p wxa -k wath_usr_sbin

# 查看规则添加进去了
[root@sp1 sbin]# auditctl -l
-w /usr/bin -p wxa -k watch_usr_bin
-w /usr/sbin -p wxa -k wath_usr_sbin

# 查看日志
ausearch -k watch_usr_bin
ausearch -k wath_usr_sbin
#
warrah
关注
专栏目录
audit监控 nmap扫描 nginx,tomcat隐藏版本信息
qq_44692240的博客
01-12 2073
nmap tcpdump audit nginx tomcat mysql安全设置 nmap 格式: nmap [扫描类型] [选项] <扫描目标> -sS, TCP SYN扫描(半开) 快但是默认被认为是攻击行为 -sT,TCP 连接扫描(全开) -sU, UDP扫描 -sP, ICMP扫描 -A,目标系统全面分析 -n , 不执行DNS解析 默认是将扫描目标当做域名的 tcpdump 选项 说明 -i 指定监控的网络接口 默认监听第一个网卡 -A 转换为ASCII码
centos审计服务audit导致使centos服务器不能登录,部署的应用不能运行和访问。
一滴水中的大海
11-18 1395
场景描述: 某天服务器上部署的tomcat服务夜间突然不能正常访问,此时用户访问量不大。查看线程还在运行,查看应用日志无任何异常,但是应用的控制台停止输出。只要重启后应用立刻能够正常访问。此后几天应用无任何异常把表现,但是经过一个周末后,周一早上发现应用不能又不能访问,并且服务器不能登录,重启服务器后,再重启应用,程序运行正常。此后应用每隔2到3天就会出现不能访问,并偶尔伴随操作系统不能登录,并且重启后正常。 原因: 运维人员查询原因后,确定是audit服务引起的,问题的原因是audit服务在繁忙的系统中进
auditd 监控网络
guoguangwu的专栏
05-31 1452
安装auditd 查看auditd是否启动 service auditd status 如果出现 Active: active (running),说明已启动。 先查看规则: auditctl -l 添加规则: auditctl -a always,exit -F arch=b64 -S socket auditctl -a always,exit -F arch=b6...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 1397
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
审计服务器是什么意思?如何使用Audit和目录审计
01-20 1540
审计是一项支持对您的网站服务器进行监管、合规性检查、操作审核和风险审核的服务项目。借助CloudAudit,您可以纪录系统日志、持续监控并保存与整个云基础设施中操作相关的账号活动。CloudAudit提供账号活动的事件历史纪录,这些活动包括通过云管理控制台、API服务项目、命令行工具和其他云服务实行的操作。这一事件历史纪录可以简化安全性分析、资源变更跟踪和问题排查业务。 云审计服务项目直...
Linux系统调优
chensida933的博客
06-27 643
rcu_sched` 是 Linux 内核中的一个关键线程,用于 RCU(Read-Copy-Update)机制,它帮助管理内核数据结构的并发访问。在某些 `top` 实现中,`I` 也表示 `Interruptible sleep`,但在这个上下文中,它更可能表示 Idle。这里是 0.00%,表示没有改变过优先级的用户进程消耗 CPU 时间。这里是 0.50%,表示内核进程消耗了 0.50% 的 CPU 时间。进程使用的 CPU 百分比,0.3`: 这个进程使用了 0.3% 的 CPU 资源。
linux监控工具——atop
哦,原来你也在这里。
04-29 2018
ATOP(1) General Commands Manual ATOP(1) NAME atop - Advanced System & Process Monitor SYNOPSIS Interactive Usage
ATOP上尚科技串口服务器 GW51C-MAXI在高低温试验箱中的运用
10-20
GW51C-MAXI是上尚科技推出的一款串口服务器产品,在高低温试验箱的运用中,展现了其强大的串口数据处理和网络连接能力。串口服务器作为连接串行设备与以太网络的桥梁,能够将串行通讯转换成网络通讯,让远端的计算机...
Atop嵌入式单串口服务器在变电站自动化中的应用.pdf
09-05
此外,AtopGW21S-MAXI的应用不仅局限于变电站自动化,还可以延伸到电力配网自动化、工厂自动化、智能交通控制系统和安防监控系统等。对于工厂自动化,例如,工业机器人、PLC、HMI等设备和系统的集成需要通过通讯网关...
ATOP自动辨识和数据采集CATALOG.rar
09-25
ATOP(Automatic Traffic Observation and Performance)是一种先进的网络监控和性能管理工具,主要用于自动化网络设备的识别、性能数据采集以及分析。这个"ATOP自动辨识和数据采集CATALOG.rar"压缩包文件包含了关于...
Atop工业级单串口服务器GW21C-MAXI在污水处理站中应用
10-19
GW21C-MAXI能够将串口数据转成TCP/IP,从而实现监测设备上网的需求,并且GW21C-MAXI可以设置成TCP CLIENT模式,从而可以主动与监控中心的PC机相连,因此监控站只需具备上网条件即可,而不需要固定IP地址。...
What's up Gold v8.01
12-30
网络服务监控,监测Microsoft Exchange,监测Microsoft SQLServer,监测SMTP email server 监测WMI应用,使用SSG技术查看实时报告,实现网络性能实施监控以及告警等。
INFO org.apache.hadoop.ipc.RPC: Server at /:9000 not available yet, Zzzzz
zhouleilei的专栏
04-08 5683
转自:http://blog.sina.com.cn/s/blog_893ee27f0100zoh7.html 很多情况下遇到类似问题 hadoop datanode 问题 INFO org.apache.hadoop.ipc.RPC: Server at /:9000 not available yet, Zzzzz.. 本以为这个样子就大功告成了, 然后我用bin/hadoop
每天学一个 Linux 命令(117):atop
民工哥的博客
04-16 1336
点击下方公众号「关注」和「星标」回复“1024”获取独家整理的学习资料!命令简介atop 命令是一款监控 Linux 系统资源与进程的工具,非内部命令,需要安装。[root@centos7...
linux 之atop 系统监控工具
程 序 猿的博客
06-07 1090
一、atop介绍 atop是一款用于监控Linux系统资源与进程的工具,它以一定的频率记录系统的运行状态,所采集的数据包含系统资源(CPU、内存、磁盘和网络)使用情况和进程运行情况,并能以日志文件的方式保存在磁盘中,服务器出现问题后,我们可获取相应的atop日志文件进行分析。 二、安装 atop 官网: https://www.atoptool.nl/downloadatop.php 在RHEL / CentOS / Fedora上 首先,你需要使EPEL软件库在RHEL / CentOS的/系统,以上面安
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
weixin_45754407的博客
05-06 2087
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
linux性能监控atop
wyx的博客
05-09 1318
atop也是一个功能强大的linux服务器监控工具,数据采集包括:cpu、内存、磁盘、网络、进程等系统未自动安装的,我们还是添加阿里源后,直接yum install -y atop即可。
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 4682
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
如何监控服务器cpu和内存
05-25
可以使用一些命令行工具来监控服务器的 CPU 和内存使用情况,比如: 1. top:可以实时显示系统中各个进程的 CPU、内存、IO 等使用情况,使用命令 `top` 即可启动。 2. htop:类似于 top,但界面更加友好,使用命令 `htop` 即可启动。 3. free:显示系统内存使用情况,使用命令 `free` 即可查看。 4. vmstat:显示虚拟内存、CPU 等使用情况,使用命令 `vmstat` 即可查看。 5. sar:系统性能分析工具,可以记录并显示系统各项性能指标,使用命令 `sar` 即可启动。 6. atop:可以记录并显示系统各项性能指标,包括 CPU、内存、磁盘等使用情况,使用命令 `atop` 即可启动。 这些工具可以帮助你实时监控服务器的 CPU 和内存使用情况,并且可以分析日志以了解历史性能数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

warrah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值