docs/autrace.8

   1 .TH AUTRACE: "8" "Jan 2007" "Red Hat" "System Administration Utilities"
   2 .SH NAME
   3 autrace \- a program similar to strace
   4 .SH SYNOPSIS
   5 .B autrace
   6 .I program
   7 .RB [ \-r ]
   8 .RI [ program-args ]...
   9 .SH DESCRIPTION
  10 \fBautrace\fP is a program that will add the audit rules to trace a process similar to strace. It will then execute the \fIprogram\fP passing \fIarguments\fP to it. The resulting audit information will be in the audit logs if the audit daemon is running or syslog. This command deletes all audit rules prior to executing the target program and after executing it. As a safety precaution, it will not run unless all rules are deleted with
  11 .B auditctl
  12 prior to use.
  13 .SH OPTIONS
  14 .TP
  15 .B \-r
  16 Limit syscalls collected to ones needed for analyzing resource usage. This could help people doing threat modeling. This saves space in logs.
  17 .SH "EXAMPLES"
  18 The following illustrates a typical session:
  19
  20 .nf
  21 .B autrace /bin/ls /tmp
  22 .B ausearch \-\-start recent \-p 2442 \-i
  23 .fi
  24
  25 and for resource usage mode:
  26
  27 .nf
  28 .B autrace \-r /bin/ls
  29 .B ausearch \-\-start recent \-p 2450 \-\-raw | aureport \-\-file \-\-summary
  30 .B ausearch \-\-start recent \-p 2450 \-\-raw | aureport \-\-host \-\-summary
  31 .fi
  32
  33 .SH "SEE ALSO"
  34 .BR ausearch (8),
  35 .BR auditctl (8).
  36
  37 .SH AUTHOR
  38 Steve Grubb