进程记帐是一种管理员可以使用的跟踪系统资源使用情况的手段, 包括它们分配给了哪些用户、 提供系统监视手段, 并且可以精细到用户执行的每一个命令。
当然, 这种做法是兼有利弊的。 它的好处是, 查找入侵时可以迅速把范围缩小到攻击者进入的时刻; 而这样做的缺点, 则是记帐会产生大量的日志, 因而需要很多磁盘空间来存储它们。 这一节将带领管理员一步一步地配置基本的进程记帐。
在使用进程记帐之前, 必须先启用它。 要完成这项工作, 需要运行下面的命令:
一旦启用之后, 记帐就会开始跟踪
CPU 统计数据、 命令, 等等。
所有的记帐日志不是以可读的方式记录的, 要查看它们,
需要使用 sa(8) 这个工具。 如果没有给出其他参数, 则
sa 将按用户, 以分钟为单位显示他们所使用的时间、
总共的 CPU 和用户时间,
以及平均的 I/O 操作数目, 等等。
要显示关于刚刚发出的命令的相关信息,
则应使用 lastcomm(1) 工具。
lastcomm 命令可以用来显示在某一 ttys(5)
上的用户信息, 例如:
将会显示出所有已知的 trhodes
在 ttyp1 终端上执行 ls 的情况。
更多的可用选项在联机手册 lastcomm(1)、 acct(5) 和 sa(8) 中有所介绍。
本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读
文档,如不能解决再联系
<questions@FreeBSD.org>.
关于本文档的问题请发信联系
<doc@FreeBSD.org>.