Övervaka användaraktivitet med ACCT eller PSACCT

Bland de dagliga uppgif.webpter som vi har som administratörer eller support till systemområdet är övervaka och hantera de aktiviteter som varje användare utför inom organisationsinfrastrukturen. Det är också användbart att samla system- och nätverksinformation, för detta kan du besöka följande handledning: Monitorix i Linux.

Det finns många verktyg som hjälper oss att analysera och hålla reda på dessa aktiviteter, men idag ska vi analysera verktygen acct Y psacct.

1. Vad är acct och psacct?


Båda verktygen de är verktyg för öppen källkod som hjälper oss att ha specifik kontroll över de aktiviteter som utförs av användare på datorn eller systemet och en av de stora fördelarna är att de körs i bakgrunden och därför påverkas inte maskinens prestanda.

Funktioner vi har med acct eller psacct

  • Övervaka användaraktiviteter.
  • Visar kommandon som används.
  • Visar en rapport om de resurser som används i systemet.
  • Det låter oss observera hur länge användare har varit anslutna till systemet.
  • Acct och psacct förbrukar inte maskinresurser, vilket förbättrar prestandan.

Som vi kan se med dessa verktyg har vi stor hjälp för de administrativa uppgif.webpter som vi måste utföra dagligen. Vi kan kombinera acct eller psacct med några parametrar som vi kommer att se senare.

För denna analys kommer vi att använda Debian 8, men det indikerar också hur man installerar i andra miljöer.

2. Uppdatera paket


Som vi alltid har rekommenderat är det viktigt innan du utför någon uppgif.webpt på systemet att uppdatera paketen eftersom nya funktioner dyker upp nästan dagligen som kan vara mycket användbara för vårt arbete.

I CentOS- och RedHat -miljöer kommer vi att använda följande kommando:

 yum uppdatering
I Debian, Fedora och andra miljöer kan vi använda kommandot:
 apt-get uppdatering
När vi har uppdaterat operativsystemet fortsätter vi att installera nödvändiga paket.

3. Ladda ner och installera paketet acct eller psacct


Något mycket viktigt som vi måste komma ihåg är att acct -verktyget är för Fedora, Debian, Mint, etc. miljöer och psacct -verktyget är för CentOS och RedHat miljöer. För att fortsätta med nedladdningen och respektive installation av de nämnda paketen kommer vi att ange följande kommando:

I CentOS- och Redhat -miljöer:

 yum installera psacct
I Fedora- eller Debian -miljöer:
 sudo apt-get install acct eller apt-get install acct
Vi accepterar nedladdningen och vi hoppas att de kommer att installeras i systemet.

4. Starta acct- eller psacct -tjänsten


När respektive paket har laddats ner och installerats fortsätter vi att starta tjänsten, som som standard är inaktiverad i CentOS- och RedHat -miljöer. För att se verktygets status kan vi använda följande kommando:

I CentOS- och RedHat -miljöer:

 /etc/init.d/psacct status
I Fedora- och Debian -miljöer:
 /etc/init.d/acct status

Som standard är den aktiv på Debian eller Fedora. För att aktivera det i RedHat och CentOS kommer vi att ange följande kommandon:

 chkconfig psacct på /etc/init.d/psacct start
Med denna process har vi aktiverat acct -verktyget i Fedora eller Debian eller psacct -verktyget i CentOS eller RedHat.

5. Hur man använder acct- och psacct -verktygen


Verktygens beteende är exakt samma, vi ska analysera parametrarna som vi kan implementera och se respektive resultat.

AC
Om vi ​​använder parametern ac Utan någon ytterligare parameter kan vi se den totala tiden i timmar för användarinloggningar och avloggningar baserat på informationen som lagras i systemets wtmp -fil.

Vi kan lägga till några parametrar till ac -kommandot för att få mer detaljerad information.
Vi kan använda syntaxen ac -d för att se den totala tiden per dag.

Om vi ​​använder syntaxen ac -p vi kan se informationen för varje användare i synnerhet:

Om vi ​​vill se den totala tiden i timmar för en viss användare använder vi syntaxen ac användarnamn:

På samma sätt kan vi se antalet timmar inklusive en viss användares dagar med hjälp av syntaxen ac -d användarnamn:

SA
För att se en sammanfattning av alla kommandon som har körts av användarna använder vi kommandot sa utan några ytterligare parametrar.

Varje kolumn indikerar följande (Vi tar den första raden som ett exempel):

  • 544: Antal gånger kommandot har körts.
  • 4.16: Realtid på några minuter.
  • 0.34: Det är det totala antalet minuter i CPU -format för varje användare.
  • 764k: Mängden kärna som används.
  • I den sista kolumnen ser vi kommandot kört.

Om vi ​​vill se information individuellt kan vi använda syntaxen sa -u:

Om vi ​​vill se processnumret med CPU -användningstiden kommer vi att använda syntaxen sa -m:

Detta gör att vi kan se en kontroll över de processer som utförs eftersom om dessa värden ökas är det ett tecken på att något är fel. Om vi ​​vill se dessa värden i procentformat kan vi använda syntaxen sa -c:

LASTCOMM
För att se kommandon som en viss användare har använt kan vi använda syntaxen lastcomm användarnamn:

Om vi ​​använder syntaxen lastcomm ls Vi kan se användningen av varje kommando:

ACCTON
Med kommandot accton vi kan aktivera eller inaktivera en användares processer.

SISTA
Tack vare detta kommando kan vi se de sista inloggningarna för en användare som anger datum, tid och IP -adress.

Som vi har sett Dessa verktyg gör att vi kan ha allmän eller personlig kontroll över de uppgif.webpter som varje användare utför inom systemet. och på detta sätt avgöra om det är fel eller processer som inte motsvarar att vidta nödvändiga åtgärder och på så sätt säkerställa optimal prestanda och stabilitet i våra system, oavsett om CentOS, Fedora, Debian eller något annat och på detta sätt noggrant följer vår administration roller.

En handledning som kan vara användbar för dig är hur man utför en granskning på CentOS 7:

CentOS 7 revisionssystem

wave wave wave wave wave