On Thu, 16 Feb 2012, Petru Ratiu wrote: > A folosit cineva snoopylogger? Aka. > http://sourceforge.net/projects/snoopylogger/ sau pachetul 'snoopy' > din Debian/Ubuntu. > > E un .so care e preloaded de linker si se pune ca wrapper peste > execve() cu unicul scop de a raporta in syslog de cate ori ruleaza. > > Pare sa-mi rezolve destu de elegant problema (real-time activity > logging pe servere) dar am asa o jena sa pun chestii in ld.so.preload > prin productie fara sa-mi pun problema cum face pe un sisrem care > munceste, ca nu prea are butoane sa-i mai tai din verbosity :) > > Mersi, > -- > Petre.
'audit' este ce iti trebuie. Presupun ca merge si pe Debian. Eu l-am folosit pe Fedora. Pe de alta parte, preload-urile sint cool, eu le folosesc deja in ceva proiecte de ale mele (force_bind, noca si cpublaster - link in semnatura) si, daca e robust, nu are impact pe masinile de productie. Inca o problema la preload versus audit: la preload, executabilele statice nu sint afectate de preload! man audit.rules Pui regula urmatoare in /etc/audit/audit.rules si restartezi auditd-ul: -a always,exit -S execve -k my_execve_watcher si apoi: # ausearch -k my_execve_watcher --raw | aureport --file --summary Poti face watch la orice syscall, sau acces la orice fisier. E super cool. Enjoy! -- Catalin(ux) M. BOIE http://kernel.embedromix.ro/ _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
