コミュニティ
system management
1752548 メンバー
5235 オンライン
108788 解決策
新規ポスト

コマンドの追跡

 
UPAUPA
時折のコントリビューター

‎09-08-2006 07:29 AM

‎09-08-2006 07:29 AM

コマンドの追跡

先日、/etc以下のあるファイルが削除されて、システム正常にうごかなくなることがありました。

ファイルはバックアップより復旧しましたが、どの原因で削除されたかがわからずじまいです。

そのため、今後のためにもコマンドなどを追跡できる方法がありましたらご教授ください。

よろしくお願い致します。
返信
2件の返信2
J_O
時折のアドバイザー

‎09-08-2006 11:25 AM

‎09-08-2006 11:25 AM

コマンドの追跡

>先日、/etc以下のあるファイルが削除されて、

>システム正常にうごかなくなることがありました。

たまに、そういうトラブルありますよね。。。

>そのため、今後のためにもコマンドなどを追跡

>できる方法がありましたらご教授ください。

コマンドの追跡であれば、acctコマンドで可能です。

コマンド以外から削除された可能性がある場合は、

システムコールの監査がおこなえるaudit機能を

使用してください。

ただ、audit機能は、HP-UX11v1では高信頼性モード

でないと使用できないようです。

さらに、audit機能では、PIDしか記録されないため

psも定期的に取得しておいたほうがよいです。
0 感謝
返信
nadachi
レギュラーアドバイザー

‎09-08-2006 03:47 PM

‎09-08-2006 03:47 PM

コマンドの追跡

system call レベルで追うには、soramimiさんが

書いてらっしゃるように、audit機能をONにする手が

あります。

 "rm"コマンドで削除された疑いがあるのなら、

/sbin/rm と /usr/sbin/rm を、こっそり置き換え、実行記録を残して、オリジナルのrmコマンドを使うようなshell scriptにしておく手もありますよ。
0 感謝
返信
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります