システム管理
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

コマンドの追跡

UPAUPA
時折のコントリビューター

コマンドの追跡

先日、/etc以下のあるファイルが削除されて、システム正常にうごかなくなることがありました。

ファイルはバックアップより復旧しましたが、どの原因で削除されたかがわからずじまいです。

そのため、今後のためにもコマンドなどを追跡できる方法がありましたらご教授ください。

よろしくお願い致します。
2 件の返信
J_O
時折のアドバイザー

コマンドの追跡

>先日、/etc以下のあるファイルが削除されて、

>システム正常にうごかなくなることがありました。

たまに、そういうトラブルありますよね。。。

>そのため、今後のためにもコマンドなどを追跡

>できる方法がありましたらご教授ください。

コマンドの追跡であれば、acctコマンドで可能です。

コマンド以外から削除された可能性がある場合は、

システムコールの監査がおこなえるaudit機能を

使用してください。

ただ、audit機能は、HP-UX11v1では高信頼性モード

でないと使用できないようです。

さらに、audit機能では、PIDしか記録されないため

psも定期的に取得しておいたほうがよいです。
nadachi
レギュラーアドバイザー

コマンドの追跡

system call レベルで追うには、soramimiさんが

書いてらっしゃるように、audit機能をONにする手が

あります。

 "rm"コマンドで削除された疑いがあるのなら、

/sbin/rm と /usr/sbin/rm を、こっそり置き換え、実行記録を残して、オリジナルのrmコマンドを使うようなshell scriptにしておく手もありますよ。