Команда sa

Подобно команде ас, команда sa занимается обработкой статистических данных. Она позволяет получить сводку процессов по отдельным пользователям или командам. Она также выдает сведения о потреблении ресурсов системы. В основном она используется сугубо в целях учета, но с ее помощью можно выявлять подозрительные команды, запускаемые отдельными пользователями. Сводка по всем пользователям слишком громоздкая, чтобы ее можно было анализировать "на таз". Для этого требуются специальные сценарии или программы обработки.

Демонстрируется выполнение команды s а -и, которая сортирует записи по имени пользователя. В данном примере нас интересует пользователь joe. В каждой строке, кроме имени пользователя, указываются время центрального процессора (в секундах), которое ушло на выполнение команды, и сама команда (максимум 16 символов) — ни флагов, ни аргументов, даже имя каталога удалено. Подобные ограничения связаны с форматом хранения данных в файле /var/log/pacct, что существенно снижает ценность команды sa. Гораздо более подробную информацию собирает демон auditd, описанный в главе 8.

Листинг 7.6. Сводка команд, введенных пользователем sa -ulgrep joe

joe 0.00 cpu bash

joe 0.00 cpu hostname

joe 0.01 cpu Is

joe 0.01 cpu Is

joe 0.00 cpu lastcomm

joe 0.01 cpu Is

joe 0.00 cpu tcpdump

joe 0.01 cpu Is

joe 0.00 cpu tcpdump

joe 0.01 cpu reboot


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок