Monitore a atividade do usuário com ACCT ou PSACCT

Entre as tarefas diárias que temos como administradores ou suporte à área de sistemas está o monitorar e gerenciar as atividades que cada usuário realiza dentro da infraestrutura organizacional. Também é útil coletar informações do sistema e da rede, para isso você pode visitar o seguinte tutorial: Monitorix no Linux.

Existem muitas ferramentas que nos ajudam a analisar e acompanhar essas atividades, mas hoje vamos analisar as ferramentas conta Y psacct.

1. O que é acct e psacct?


Ambos os utilitários eles são ferramentas de código aberto que nos ajudam a ter um controle específico sobre as atividades realizadas pelos usuários no computador ou sistema e uma das grandes vantagens é que funcionam em segundo plano e, portanto, o desempenho da máquina não é afetado.

Recursos que temos com acct ou psacct

  • Monitore as atividades do usuário.
  • Exibe os comandos que são usados.
  • Exibe um relatório sobre os recursos que estão sendo usados ​​no sistema.
  • Isso nos permite observar há quanto tempo os usuários estão conectados ao sistema.
  • Acct e psacct não consomem recursos da máquina, melhorando o desempenho.

Como podemos ver com estas ferramentas temos uma grande ajuda para as tarefas administrativas que devemos realizar diariamente. Podemos combinar acct ou psacct com alguns parâmetros que veremos mais tarde.

Para esta análise usaremos o Debian 8, mas também indica como instalar em outros ambientes.

2. Pacotes de atualização


Como sempre temos recomendado, é importante antes de realizar qualquer tarefa no sistema atualizar os pacotes porque novos recursos aparecem quase que diariamente que podem ser muito úteis para o nosso trabalho.

Nos ambientes CentOS e RedHat, usaremos o seguinte comando:

 yum atualização
No Debian, Fedora e outros ambientes, podemos usar o comando:
 apt-get update
Depois de atualizar o sistema operacional, procedemos à instalação dos pacotes necessários.

3. Baixe e instale os pacotes acct ou psacct


Algo muito importante que devemos ter em mente é que o utilitário acct é para ambientes Fedora, Debian, Mint, etc. e a ferramenta psacct é para ambientes CentOS e RedHat. Para proceder ao download e respetiva instalação dos pacotes mencionados, vamos introduzir o seguinte comando:

Em ambientes CentOS e Redhat:

 yum install psacct
Em ambientes Fedora ou Debian:
 sudo apt-get install acct ou apt-get install acct
Aceitamos o download e esperamos que sejam instalados no Sistema.

4. Inicie o serviço acct ou psacct


Depois de baixar e instalar os respectivos pacotes, iniciamos o serviço, que por padrão está desabilitado em ambientes CentOS e RedHat. Para ver o status da ferramenta, podemos usar o seguinte comando:

Em ambientes CentOS e RedHat:

 /etc/init.d/psacct status
Em ambientes Fedora e Debian:
 /etc/init.d/acct status

Por padrão, ele está ativo no Debian ou Fedora. Para habilitá-lo no RedHat e CentOS, vamos inserir os seguintes comandos:

 chkconfig psacct em /etc/init.d/psacct start
Com este processo habilitamos a ferramenta acct no Fedora ou Debian ou a ferramenta psacct no CentOS ou RedHat.

5. Como usar as ferramentas acct e psacct


O comportamento das ferramentas é exatamente o mesmo, vamos analisar os parâmetros que podemos implementar e ver o respectivo resultado.

AC
Se usarmos o parâmetro ac Sem qualquer parâmetro adicional, podemos ver o tempo total em horas de logins e logoffs do usuário com base nas informações armazenadas no arquivo wtmp do sistema.

Podemos adicionar alguns parâmetros ao comando ac para obter informações mais detalhadas.
Podemos usar a sintaxe ac -d para ver o tempo total por dia.

Se usarmos a sintaxe ac -p podemos ver as informações de cada usuário em particular:

Se quisermos ver o tempo total de horas de um determinado usuário, usamos a sintaxe nome de usuário ac:

Da mesma forma, podemos ver o número de horas incluindo os dias de um determinado usuário usando a sintaxe nome de usuário ac -d:

SA
Para ver um resumo de todos os comandos que foram executados pelos usuários, usamos o comando sa sem quaisquer parâmetros adicionais.

Cada coluna indica o seguinte (tomamos a primeira linha como exemplo):

  • 544: Número de vezes que o comando foi executado.
  • 4.16: Tempo real em minutos.
  • 0.34: É o total de minutos em formato de CPU do sistema de cada usuário.
  • 764k: Quantidade de núcleo usado.
  • Na última coluna vemos o comando executado.

Se quisermos ver as informações individualmente, podemos usar a sintaxe sa -u:

Se quisermos ver o número do processo com o tempo de uso da CPU usaremos a sintaxe sa-m:

Isso nos permite ver um controle sobre os processos que estão sendo executados, pois se esses valores forem aumentados é um sinal de que algo está errado. Se quisermos ver esses valores em formato de porcentagem, podemos usar a sintaxe sa -c:

LASTCOMM
Para ver os comandos que um determinado usuário usou, podemos usar a sintaxe nome de usuário lastcomm:

Se usarmos a sintaxe lastcomm ls Podemos ver o uso de cada comando:

ACCTON
Com o comando Accton podemos habilitar ou desabilitar os processos de um usuário.

LASTB
Graças a este comando podemos ver os últimos logins de um usuário indicando data, hora e endereço IP.

Como nós vimos Esses utilitários nos permitem ter um controle geral ou personalizado sobre as tarefas que cada usuário executa no sistema. e desta forma determinar se eles estão incorrendo em falhas ou processos que não correspondem para tomar as ações necessárias e, assim, garantir um ótimo desempenho e estabilidade de nossos sistemas, sejam CentOS, Fedora, Debian ou qualquer outro e, desta forma, cumpra cuidadosamente com nossa administração papéis.

Um tutorial que pode ser útil para você é como realizar uma auditoria no CentOS 7:

Sistema de auditoria CentOS 7

wave wave wave wave wave