Auf meinem Rootserver laufen Nagios und Collectd.
Das hat Gründe, die ich hier jetzt nicht weiter ausführen möchte.
Ich bekomme nun 0-5 Mal täglich Warning und Error Messages von Nagios, dass die Anzahl der Prozesse über den eingestellten Level angestiegen sind.
Nur, wenn ich mal nachschauen möchte, welche Prozesse sind, die da nun vermehrt auftreten, wird es schwierig.
Zum einen, vielleicht ist der Spuk schon vorbei und zum anderen ist es einfach sportlich.
Ich habe collectd entsprechend angepasst und sehe schon diverse Einzelheiten, aber nicht so exakt, was ich suche.
Das vorweg.
Es ist ein Script gesucht, egal wie realisiert, dass zuverlässig die Prozesse identifiziert, die in den letzten 5 Minuten gestartet wurden.
Dies soll geloggt werden, so dass man später die Ursachenforschung betreiben kann.Bei mir laufen normalerweise 350 Prozesse, manchmal sind es halt 380-400.
Klar, es gibt die üblichen Verdächtigen, wie z.B. Scripte, die nach schwachen ssh login Passwörtern suchen, oder entsprechend für Websites nach Lücken suchen. etc. Wenn ich die top 30 zuletzt gestarteten Scripte identifizieren könnte wäre ich einen Schritt weiter.
Das Logfile könnte in etwa so aussehen:
Code: Alles auswählen
[Sun Mar 1 14:26:50 2020] postgres 20376 1 0 Mar01 ? 00:00:19 /usr/lib/postgresql/11/bin/postgres -D /var/lib/postgresql/11/main -c config_file=/etc/postgresql/11/main/postgresql.conf
Es ist nicht ganz einfach, deshalb frage ich hier
Belohnung: Ruhm und Ehre. Copyright bleibt beim Autor, ist klar.
Layer8 Problem.