进程记帐是一种管理员可以使用的跟踪系统资源使用情况的手段, 包括它们分配给了哪些用户、 提供系统监视手段, 并且可以精细到用户执行的每一个命令。
当然, 这种做法是兼有利弊的。 它的好处是, 查找入侵时可以迅速把范围缩小到攻击者进入的时刻; 而这样做的缺点, 则是记帐会产生大量的日志, 因而需要很多磁盘空间来存储它们。 这一节将带领管理员一步一步地配置基本的进程记帐。
在使用进程记帐之前, 必须先启用它。 要完成这项工作, 需要运行下面的命令:
# touch /var/account/acct # accton /var/account/acct # echo 'accounting_enable="YES"' >> /etc/rc.conf
一旦启用之后, 记帐就会开始跟踪 CPU 统计数据、 命令, 等等。 所有的记帐日志不是以可读的方式记录的, 要查看它们, 需要使用 sa(8) 这个工具。 如果没有给出其他参数, 则 sa 将按用户, 以分钟为单位显示他们所使用的时间、 总共的 CPU 和用户时间, 以及平均的 I/O 操作数目, 等等。
要显示关于刚刚发出的命令的相关信息, 则应使用 lastcomm(1) 工具。 lastcomm 命令可以用来显示在某一 ttys(5) 上的用户信息, 例如:
# lastcomm ls trhodes ttyp1
将会显示出所有已知的 trhodes 在 ttyp1 终端上执行 ls 的情况。
更多的可用选项在联机手册 lastcomm(1)、 acct(5) 和 sa(8) 中有所介绍。
本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<[email protected]>.
关于本文档的问题请发信联系 <[email protected]>.