Acct : Le keyfinder par excellence

From Deimos.fr / Bloc Notes Informatique
Jump to: navigation, search

1 Introduction

Dans un environnement de prod, il peut être utile de savoir ce que chaque personnes fait. Notamment quand une boulette arrive et que personne ne se dénonce (hé oui, ça arrive). Les petits hackers en herbes (alias kéké) qui se disent hacker parce qu'ils ont foutu un keyloger sur une machine, ça peut les intéresser aussi. Par contre, le but n'est évidement pas le même.

2 commandes sont utiles :

  • sa : permet d'obtenir des statistiques sur le lancement des processus.
  • lastcomm : permet d'obtenir une liste de commandes lancées par utilisateur.

2 Installation

L'installation se faire de la manière suivante :

Command apt-get
apt-get install acct

3 Configuration

  • Tous les fichiers logs s'écriront dans ce fichier :
/var/log/account/pacct
  • Si vous souhaitez changer de fichier, exécutez cette action :
Command accton
accton NomDeFichier

  • Pour ce qui est de l'activation, éditez le fichier /etc/default/acct :
Configuration File /etc/default/acct
# Activate acct
ACCT_ENABLE="1"

# Amount of days that the logs are kept.
ACCT_LOGGING="30"

4 Utilisation

4.1 lastcomm

  • Pour lister les commandes utilisées :
Command lastcomm
lastcomm

Notes Notes
Attention, on voit aussi ce que le shell exécute au démarrage

  • Lister les commandes lancées récemment par un utilisateur :
Command lastcomm
lastcomm user

  • Rechercher dans l'historique qui a lancé une commande donnée et quand :
Command lastcomm
lastcomm apachectl

  • Savoir quelles commandes ont été lancées directement depuis le terminal physique de la machine :
Command lastcomm
lastcomm --tty tty1

4.1.1 sa

  • Lister commandes qui ont tourné le plus longtemps :
Command sa
sa --sort-real-time | head

  • Lister les commandes qui consomment le plus d'io :
Command sa
sa -d | head

  • Lister toutes les commandes avec l'utilisateur qui les a lancées :
Command sa
sa -u

  • Consommation par utilisateur :
Command sa
sa -m

La sortie contient :

  • le nombre d'appels
  • re : le temps passé
  • cp : la quantité de cpu consommé (en secondes)
  • avio : le nombre d'io moyen ( très pratique pour diagnostiquer quel processus utilise le disque)
  • la mémoire consommée par seconde (k, cette valeur n'est pas très intuitive)

5 References

http://tldp.org/HOWTO/Process-Accounting/pa.html