linuxhanz
26.03.03, 18:43
A
good addition to the native process accouting facilities is the 'exec'
kernel module, available as exec.c from linux software repositories. Once
compiled, exec can be loaded with 'insmod exec.o', whereupon it will log
exec() calls as kernel.info messages. When using this module, the syslog
daemon should be configured to log these messages to a specific terminal
or logfile; the syslog.conf line would look as follows:
kernel.info /usr/adm/execlog
Restart the syslog daemon by doing a kill -HUP on syslogd, then tail -f
/usr/adm/execlog:
Nov 22 09:06:01 gaap kernel: EXECVE(65534)[459]: /usr/sbin/in.identd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[464]: /usr/sbin/tcpd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[465]: /usr/sbin/tcpd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[465]: /usr/sbin/wu.ftpd
Nov 22 09:06:27 gaap kernel: EXECVE(0)[470]: /usr/local/bin/nmap
Nov 22 09:07:41 gaap kernel: EXECVE(0)[471]: /bin/ping
Nov 22 09:08:18 gaap kernel: EXECVE(0)[472]: /bin/ls
To avoid filling up the filesystem, either truncate this file regularly, or
configure syslogd to output to a terminal.
Schon blöd. Wenn ichs übersetzen will, bekomme ich nur Fehler. Ist das exec Modul
vielleicht ersetzt worden? Gibts was besseres?
Wurde hier schonmal erläutert wie man ein einzelnes Modul übersetzt?
Irgendwie kommt das log einem von LIDS her bekannt vor. Aber LIDS auf dem Client?
Wie läßt sich dieses Modul fehlerfrei übersetzen?
good addition to the native process accouting facilities is the 'exec'
kernel module, available as exec.c from linux software repositories. Once
compiled, exec can be loaded with 'insmod exec.o', whereupon it will log
exec() calls as kernel.info messages. When using this module, the syslog
daemon should be configured to log these messages to a specific terminal
or logfile; the syslog.conf line would look as follows:
kernel.info /usr/adm/execlog
Restart the syslog daemon by doing a kill -HUP on syslogd, then tail -f
/usr/adm/execlog:
Nov 22 09:06:01 gaap kernel: EXECVE(65534)[459]: /usr/sbin/in.identd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[464]: /usr/sbin/tcpd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[465]: /usr/sbin/tcpd
Nov 22 09:06:01 gaap kernel: EXECVE(0)[465]: /usr/sbin/wu.ftpd
Nov 22 09:06:27 gaap kernel: EXECVE(0)[470]: /usr/local/bin/nmap
Nov 22 09:07:41 gaap kernel: EXECVE(0)[471]: /bin/ping
Nov 22 09:08:18 gaap kernel: EXECVE(0)[472]: /bin/ls
To avoid filling up the filesystem, either truncate this file regularly, or
configure syslogd to output to a terminal.
Schon blöd. Wenn ichs übersetzen will, bekomme ich nur Fehler. Ist das exec Modul
vielleicht ersetzt worden? Gibts was besseres?
Wurde hier schonmal erläutert wie man ein einzelnes Modul übersetzt?
Irgendwie kommt das log einem von LIDS her bekannt vor. Aber LIDS auf dem Client?
Wie läßt sich dieses Modul fehlerfrei übersetzen?