Prozess-Überwachung (Process accounting) ist ein Sicherheitsverfahren, bei dem ein Administrator verfolgt, welche Systemressourcen verwendet werden und wie sich diese auf die einzelnen Anwender verteilen. Dadurch kann das System überwacht werden und es ist sogar möglich, zu kontrollieren, welche Befehle ein Anwender eingibt.
Die Überwachung von Prozessen hat sowohl Vor- als auch Nachteile. Positiv ist, dass man einen Einbruchsversuch bis an den Anfang zurückverfolgen kann. Von Nachteil ist allerdings, dass durch diesen Prozess Unmengen an Protokolldateien erzeugt werden, die auch dementsprechenden Plattenplatz benötigen. Dieser Abschnitt beschreibt die Grundlagen der Prozess-Überwachung.
Wenn Sie eine differenzierte Prozess-Überwachung benötigen, lesen Sie Kapitel 17, Security Event Auditing.
Bevor Sie die Prozess-Überwachung verwenden können, müssen Sie diese über die folgenden Befehle aktivieren:
#
touch /var/account/acct
#
chmod 600 /var/account/acct
#
accton /var/account/acct
#
echo 'accounting_enable="YES"' >> /etc/rc.conf
Einmal aktiviert, wird sofort mit der Überwachung von
CPU-Statistiken, Befehlen und anderen
Vorgängen begonnen. Protokolldateien werden in einem
nur von Maschinen lesbaren Format gespeichert und können
mit sa
aufgerufen werden. Ohne Optionen
gibt sa
Informationen wie die Anzahl der Aufrufe pro
Anwender, die abgelaufene Zeit in Minuten, die gesamte
CPU- und Anwenderzeit in Minuten und die
durchschnittliche Anzahl der Ein- und Ausgabeoperationen
aus. sa(8) enthält eine Liste der Optionen, welche die
Ausgabe steuern.
Benutzen Sie lastcomm
, um die von den
Benutzern ausgeführten Befehle anzuzeigen. Dieses Beispiel
zeigt die Nutzung von ls
durch trhodes
auf dem Terminal
ttyp1
:
#
lastcomm ls trhodes ttyp1
Zahlreiche weitere nützliche Optionen finden Sie lastcomm(1), acct(5) sowie sa(8).
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.