Účtování procesů vám umožňuje vést podrobné záznamy o každém příkazu, který uživatel spustí, včetně času procesoru a použité paměti. Z hlediska zabezpečení to znamená, že správce systému může shromažďovat informace o tom, který uživatel spustil který příkaz a v jakém čase. To je nejen velmi užitečné při posuzování vloupání nebo místního kořenového ohrožení, ale může být také použito k odhalení pokusů o škodlivé chování běžných uživatelů systému.
Chcete-li shrnout účetní informace, můžete použít příkaz sa. Ve výchozím nastavení zobrazí seznam všech příkazů nalezených v účetních protokolech a vytiskne, kolikrát byl každý z nich proveden:
# sa 14 0.04re 0.03cp 0avio 1297k troff 7 0.03re 0.03cp 0avio 422k lastcomm 2 63.90re 0.01cp 0avio 983k info 14 34.02re 0.01cp 0avio 959k less 14 0.03re 0.01cp 0avio 1132k grotty 44 0.02re 0.01cp 0avio 432k gunzip
Příklady příkazů sa
1. Shrnutí účetních informací:
# sa
2. Chcete-li vypsat vše a neřadit:
# sa -a # sa --list-all-names
3. Seřadit výstup podle součtu času uživatele a systému děleného počtem hovorů.
# sa -b # sa --sort-sys-user-div-calls
4. Chcete-li vytisknout procenta celkového času pro uživatele, systém a hodnoty v reálném čase příkazu:
# sa -c # sa --percentages
5. Předpokládat, že všechny odpovědi na interaktivní dotazy jsou kladné.
# sa -f # sa --not-interactive
6. Chcete-li nečíst informace ve výchozím souboru savacct systému:
# sa -i # sa --dont-read-summary-file
7. Tisk sekund na hovor:
# sa -j # sa --print-seconds
8. Chcete-li seřadit výstup podle průměrného využití paměti v čase CPU:
# sa -k # sa --sort-cpu-avmem
9. Chcete-li tisknout a třídit výstup podle integrálu cpu-storage:
# sa -K # sa --sort-ksec
10. Chcete-li vytisknout samostatné sloupce pro systémový a uživatelský čas:
# sa -l # sa --separate-times
11. Chcete-li vytisknout počet procesů a počet minut CPU na uživatele.
# sa -m # sa --user-summary
12. Chcete-li seřadit výstup podle počtu hovorů:
# sa -n # sa --sort-num-calls
13. Chcete-li seřadit výstupní položky v opačném pořadí:
# sa -r # sa --reverse-sort
14. Chcete-li sloučit souhrnná účetní data do souhrnných souborů savacct a usracct:
# sa -s # sa --merge
15. Chcete-li vytisknout poměr reálného času k součtu systémových a uživatelských časů:
# sa -t # sa --print-ratio
16. Chcete-li vytisknout ID uživatele a název příkazu:
# sa -u # sa --print-users
17. Chcete-li vytisknout příkazy, které byly provedeny nullkrát nebo méně, a čekat na odpověď z terminálu:
# sa -v 10 # sa --threshold 10
18. Chcete-li zobrazit verzi:
# sa -V # sa --version
19. Získání nápovědy:
# sa -h # sa --help
Abychom systém nadále sledovali, nejprve do systému nainstalujeme balíček acct. U několika dalších linuxových distribucí by měl být použit balíček psacct, pokud acct není kompatibilní. Jakmile je nástroj nainstalován a spuštěn, začne udržovat protokol aktivit v systému. Tyto protokoly pak můžeme sledovat pomocí příkazů popsaných ve výše uvedené sekci.