OpenForum RSS: журналирование запуска процессов/программ https://www.opennet.me/openforum/vsluhforumID10/4267.html Доброго времени суток.<br>Задача в том, чтобы отправлять в log информацию о запуске процессов/программ.<br>Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может отработать в течение периода и отключиться).<br>Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле и уже тогда отправить в журнал информацию?<br>Если да, то что делает система и как это отловить?<br>Спасибо.<br> журналирование запуска процессов/программ (Олег) https://www.opennet.me/openforum/vsluhforumID10/4267.html#13 Thu, 18 Jun 2009 14:59:25 GMT Остановился в итоге на auditd.<br>Для журналирования запуска программ и процессов, я так понимаю, требуется задать правила для отслеживания системных вызовов fork, vfork, clone, execev, kill (для завершения).<br>Спасибо всем участникам ветки. Вы мне очень помогли.<br> журналирование запуска процессов/программ (Олег) https://www.opennet.me/openforum/vsluhforumID10/4267.html#12 Mon, 08 Jun 2009 12:53:47 GMT &gt;Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью <br>&gt;можно отслеживать доступ к файлам и папкам. Но это всего лишь <br>&gt;модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет <br>&gt;программка для тестирования работы этого модуля, которая пишет инфу в лог <br>&gt;при доступе к файлам в определенной директории. <br>&gt;http://dazuko.dnsalias.org/wiki/index.php/Main_Page <br><br>Спасибо. Дайте только время на переваривание всей инфы.<br> журналирование запуска процессов/программ (Олег) https://www.opennet.me/openforum/vsluhforumID10/4267.html#11 Mon, 08 Jun 2009 12:51:57 GMT &gt;auditd от RedHat <br><br>Спасибо. Постараюсь разобраться.<br><br> журналирование запуска процессов/программ (pavel_simple) https://www.opennet.me/openforum/vsluhforumID10/4267.html#10 Mon, 08 Jun 2009 05:50:24 GMT &gt;&gt;ОС какая? <br>&gt;<br>&gt;Fedora10 <br><br>auditd от RedHat<br> журналирование запуска процессов/программ (Alex_U) https://www.opennet.me/openforum/vsluhforumID10/4267.html#9 Fri, 05 Jun 2009 18:32:26 GMT &gt;Доброго времени суток. <br>&gt;Задача в том, чтобы отправлять в log информацию о запуске процессов/программ. <br>&gt;Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может <br>&gt;отработать в течение периода и отключиться). <br>&gt;Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле <br>&gt;и уже тогда отправить в журнал информацию? <br>&gt;Если да, то что делает система и как это отловить? <br>&gt;Спасибо. <br><br>Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью можно отслеживать доступ к файлам и папкам. Но это всего лишь модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет программка для тестирования работы этого модуля, которая пишет инфу в лог при доступе к файлам в определенной директории.<br>http://dazuko.dnsalias.org/wiki/index.php/Main_Page<br> журналирование запуска процессов/программ (Олег) https://www.opennet.me/openforum/vsluhforumID10/4267.html#8 Fri, 05 Jun 2009 10:17:14 GMT &gt;ОС какая? <br><br>Fedora10<br> журналирование запуска процессов/программ (Sarge) https://www.opennet.me/openforum/vsluhforumID10/4267.html#7 Thu, 04 Jun 2009 17:16:29 GMT А мне кажется что такая возможность в системе была бы полезна. Да просто для того же аудита. Вон, в соседней ветке у человека фря перезагружается ровно в 10 вечера и он понять не может в чём дело.<br> журналирование запуска процессов/программ (angra) https://www.opennet.me/openforum/vsluhforumID10/4267.html#6 Thu, 04 Jun 2009 15:20:08 GMT &gt;итп - это что-то инженерно техническое?<br><br>итп это "и тому подобное". Могу еще добавить в копилку знаний итд - "и так далее". Впервые встречаю взрослого человека, который этого не знает. <br><br>&gt; Ну, в общем случае, пусть работает <br>&gt;компьютер. Допустим, что кто-то внедрил туда свою закладку и она запускается <br>&gt;в определенный момент времени. Как это сделать незаметно - другой вопрос. <br>&gt;Я хочу хотя бы представлять, какие именно процессы запускаются, пока я <br>&gt;не наблюдаю за системой. <br><br>Не пытайся перемудрить взломщиков, не имея достаточного уровня знаний. Воспользуйся chkrootkit сотоварищи. <br> журналирование запуска процессов/программ (pavel_simple) https://www.opennet.me/openforum/vsluhforumID10/4267.html#5 Thu, 04 Jun 2009 14:32:48 GMT &gt;Доброго времени суток. <br>&gt;Задача в том, чтобы отправлять в log информацию о запуске процессов/программ. <br>&gt;Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может <br>&gt;отработать в течение периода и отключиться). <br>&gt;Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле <br>&gt;и уже тогда отправить в журнал информацию? <br>&gt;Если да, то что делает система и как это отловить? <br>&gt;Спасибо. <br><br>ОС какая?<br>