audit可以监听kill事件,找到进程被杀掉的罪魁祸首

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Linux 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinrun109/article/details/126619286
版权

Linux 审计系统:audit

Audit does not provide additional security to your system; rather, it can be used to discover violations of security policies used on your system. These violations can further be prevented by additional security measures such as SELinux.

The Linux Audit system provides a way to track security-relevant information on your system. Based on pre-configured rules, Audit generates log entries to record as much information about the events that are happening on your system as possible. This information is crucial for mission-critical environments to determine the violator of the security policy and the actions they performed.

关于系统的更多内容,可参考 redhat 管理员手册。

安装很简单:sudo apt install auditd

启动服务并查看状态: systemctl enable auditd.service; systemctl restart auditd.service

然后通过auditctrl添加规则: auditctl -a exit,always -F arch=b64 -S kill -F a1=9

启动然后kill掉Python程序; 查看日志,即可发现kill发起的程序和用户;

sudo ausearch -sc kill

日志如下:

time->Thu Feb 24 04:00:08 2022

type=PROCTITLE msg=audit(1645675208.403:201): proctitle="htop"

type=OBJ_PID msg=audit(1645675208.403:201): opid=40099 oauid=1016 ouid=1016 oses=12951 obj==unconfined ocomm="nvtop"

type=SYSCALL msg=audit(1645675208.403:201): arch=c000003e syscall=62 success=yes exit=0 a0=9ca3 a1=9 a2=c1 a3=8 items=0 ppid=45939 pid=40129 auid=1016 uid=1016 gid=1016 euid=1016 suid=1016 fsuid=1016 egid=1016 sgid=1016 fsgid=1016 tty=pts4 ses=18035 comm="htop" exe="/usr/bin/htop" subj==unconfined key=(null)

type=OBJ_PID 那一列是杀进程的命令(ocomm="nvtop" )

type=SYSCALL 那一列是kill的调用者详情和系统命名码(syscall=62 )

野马归来
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
我的进程去哪儿了,谁杀了我的进程
weixin_30892889的博客
12-27 898
     曾经在我眼前,却又消失不见,这是今天的第六遍。   一段感情,我们希望它能够天长不久,越稳定越好,最怕的就是中途夭折,无疾而终。   即使不能到海枯石烂的一天,我们也希望好聚好散,大家理智的告别,然后笑着活下去。      况且,我们时候,我们只是希望给这段感情按下一个暂停键,大家先冷静思考自己的问题,然后重新继续。   最让人抓狂的是突然就联系不上另一半,不接你电话、不回你...
Linux 程序被Killed,如何精准查看日志?
wzk4869的博客
04-03 1386
Linux 程序被Killed,如何精准查看日志?
linux查看进程kill原因,定位Linux下定位进程被谁KILL
weixin_39858124的博客
04-28 3916
转载请注明出处 http://forever.blog.chinaunix.net 瀚海书香今天上午有个同事问,自己的进程被莫名其妙的杀死了,想知道是被那个进程误杀了。第一个想法是用kernel hack系统调用的方式,刚打算翻出hook的代码,想起了貌似audit不就是干这个的吗#auditctl -a exit,always -S kill#auitctl -l#tail -f /var/lo...
通过auditd找到干坏事的进程
woai110120130的专栏
06-11 1913
最近发现服务器上某个进程会定期执行echo 1 > /proc/sys/vm/drop_caches 命令, 不知道哪个傻瓜干的, 这严重影响了服务器的性能, 问题是通过kernal log看到的 [30352749.162493] sh (11336): drop_caches: 1 [30356347.539229] sh (21947): drop_caches: 1 [30359945.590508] sh (28856): drop_caches: 1 [30363543.255243] s
进程被莫名杀掉(killed)
热门推荐
纸上得来终觉浅
01-10 1万+
问题:问题:服务启动后,进程被莫名killed 环境:搭建个es的服务设置内存192M,系统内存1G 报错:search.sh: line 6: 6961 Killed xxxx原因说明:linux杀掉当前最占用内存的进程。 当linux报OOM时,意味着整个系统的内存已经不足,如果不杀死进程的话,就会导致系统的崩溃。每个进程都会存有一个oom_score的参数,比如输出pid为988的o
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 982
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
监听事件hook:beforeDestroy
Min_Fox的博客
02-28 351
当离开当前组件的时候会自动清除setInterval export default { methods: { startTimer() { // 启动计时器 let timer = setInterval(() => { //需要做的事情 console.log(11111); }, 1000); // 销毁计时器 this.$once('hook:beforeDestroy', () =>
windows查看KILL进程
qq_40132965的博客
10-31 9666
windows查看KILL进程 netstat -ano | findstr “8080”,根据端口号查看进程 tasklist | findstr “nginx" 根据名称查看进程 taskkill -pid “进程ID” -f 根据进程ID杀进程 ...
Linux 监控文件被什么进程修改(详解)
09-15
下面将详细介绍如何使用Audit来监控文件被哪个进程修改。 首先,你需要安装Audit守护进程及相关工具。在基于Debian的系统(如Ubuntu)上,可以使用`apt-get`命令进行安装: ```bash sudo apt-get install auditd `...
ex_audit:Ecto审核库,可以透明地跟踪更改并可以还原更改
02-05
5. **定制化**:虽然ex_audit提供了一套标准的审计流程,但用户可以根据自己的需求对其进行扩展和定制,例如添加自定义的审计事件或者调整日志格式。 **相关标签解析** 1. **diff**:在上下文中,diff可能指代的是...
server_audit.so
04-26
mariadb5.5.68linuxx86_64.tar解压出来的日志审计插件 可直接放在mysql安装目录 install
wincc Audit V7.4软件配置步骤.doc
04-20
WinCC Audit V7.4是西门子提供的组态软件,具有audit功能,可以追踪和记录用户的操作行为。本文将详细介绍如何在WinCC中配置audit功能,以便更好地使用audit功能。 一、Audit配置前的准备 在配置Audit功能之前,...
Go-go-audit替代auditd守护进程附带许多发行版
08-14
《Go-audit:一款强大的替代auditd守护进程的工具》 在系统审计领域,auditd守护进程Linux发行版中的标准组件,它负责收集、过滤和记录系统的安全事件。然而,随着技术的发展和需求的多样化,Go-audit应运而生,...
Program terminated with signal SIGKILL,Killed 问题解决方法
Rain
04-26 1万+
最近发现一个奇怪的问题,程序运行一段时间后会被杀死。 通过gdb调试发现程序收到的信号是“Program terminated with signal SIGKILL,Killed”。 百度一番,有说是程序内存占用过多导致的,通过top -p 进程pid的方法进行检测,发现程序内存占用很低,只能是其他原因了。 最后搜到工具audit可以监控程序被kill的原因,执行命令如下。 1.先查看audi...
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1409
audit.rules 是 audit规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
查看进程被谁杀
yunlianglinfeng的专栏
03-01 1499
方法1 systemtap: probe begin { printf("%-8s %-16s %-5s %-16s %6s %-16s\n", "SPID", "SNAME", "RPID", "RNAME", "SIGNUM", "SIGNAME") } probe signal.send { if (sig_name == @1 && sig_pid == target()) printf("%-8d %-16s %-5d %-16s %-6d ...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8217
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
曹春晖:谈一谈 Go 和 Syscall
cmqsbon24073的博客
04-22 905
桔妹导读:syscall 是语言与系统交互的唯一手段,理解 Go 语言中的 syscall,本文可以帮助读者理解 Go 语言怎么与系统打交道,同时了解底层 runtime 在 syscall 优化方面的一些小心思,从而更为深入地...
Linux进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 1146
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
linux audit监控 进程连接信息
04-26
你想了解关于 Linux Audit 监控进程连接信息的信息。Linux AuditLinux 内核中的一个模块,用于记录系统的安全审计信息。通过监控进程的连接信息,可以跟踪应用程序与外部系统的交互,以及防止恶意进程的存在。要启用 Audit,需要在系统中安装 Audit 工具,并配置 Audit 规则进行监控。你可以使用 auditctl 命令管理 Audit规则,使用 ausearch 查看 Audit 的日志信息。希望这能够回答你的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值