15.14. 进程记帐

Contributed by Tom Rhodes.

进程记帐是一种管理员可以使用的跟踪系统资源使用情况的手段, 包括它们分配给了哪些用户、 提供系统监视手段, 并且可以精细到用户执行的每一个命令。

当然, 这种做法是兼有利弊的。 它的好处是, 查找入侵时可以迅速把范围缩小到攻击者进入的时刻; 而这样做的缺点, 则是记帐会产生大量的日志, 因而需要很多磁盘空间来存储它们。 这一节将带领管理员一步一步地配置基本的进程记帐。

15.14.1. 启用并利用进程记帐

在使用进程记帐之前, 必须先启用它。 要完成这项工作, 需要运行下面的命令:

# touch /var/account/acct# accton /var/account/acct# echo 'accounting_enable="YES"' >> /etc/rc.conf

一旦启用之后, 记帐就会开始跟踪 CPU 统计数据、 命令, 等等。 所有的记帐日志不是以可读的方式记录的, 要查看它们, 需要使用 sa(8) 这个工具。 如果没有给出其他参数, 则 sa 将按用户, 以分钟为单位显示他们所使用的时间、 总共的 CPU 和用户时间, 以及平均的 I/O 操作数目, 等等。

要显示关于刚刚发出的命令的相关信息, 则应使用 lastcomm(1) 工具。 lastcomm 命令可以用来显示在某一 ttys(5) 上的用户信息, 例如:

# lastcomm ls trhodes ttyp1

将会显示出所有已知的 trhodesttyp1 终端上执行 ls 的情况。

更多的可用选项在联机手册 lastcomm(1)acct(5)sa(8) 中有所介绍。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.