System
Difficulte: Beginner
3 min de lecture

Acct : Comptabilité des Processus sous Linux

Guide complet pour installer et configurer acct (GNU Accounting Tool) afin de surveiller et enregistrer l'utilisation des processus sur un système Linux.

Retour aux tutoriels
Qu'est-ce que acct ?
L'outil acct (ou psacct) enregistre l'activité de tous les processus du système, fournissant des informations détaillées sur les commandes exécutées, l'utilisateur, le temps CPU, et l'heure d'exécution. C'est un outil précieux pour l'audit et le monitoring.

Pourquoi Utiliser acct ?

  • Audit de Sécurité : Traçabilité complète des commandes exécutées, utile pour les investigations post-incident.
  • Suivi des Ressources : Analyse de la consommation CPU et mémoire par utilisateur ou par processus.
  • Monitoring d'Activité : Visibilité sur l'activité des utilisateurs et des services système.

Prérequis

  • Système d'exploitation : Distribution Linux (Debian, Ubuntu, CentOS, RHEL).
  • Privilèges : Accès root ou privilèges sudo.

Installation de acct

Étape 1 : Installation du paquet

Le nom du paquet varie selon la distribution :

# Pour Debian / Ubuntu
sudo apt-get update
sudo apt-get install -y acct

# Pour CentOS / RHEL
sudo yum install -y psacct

Étape 2 : Activation du service

Une fois installé, le service doit être activé et démarré :

sudo systemctl start acct
sudo systemctl enable acct
# Pour CentOS/RHEL, le service se nomme psacct
sudo systemctl start psacct
sudo systemctl enable psacct

Vérifiez que le service est bien actif :

sudo systemctl status acct # ou psacct
Service activé
Le service acct est maintenant en cours d'exécution et enregistre l'activité des processus.

Commandes principales de acct

Plusieurs commandes permettent d'exploiter les données collectées.

lastcomm : Dernières commandes exécutées

Affiche la liste des commandes exécutées, de la plus récente à la plus ancienne.

lastcomm

Pour filtrer par utilisateur ou par commande :

# Commandes exécutées par l'utilisateur 'morgann'
lastcomm morgann

# Toutes les exécutions de la commande 'ls'
lastcomm ls

sa : Résumé par commande

La commande sa fournit un résumé des informations collectées, agrégées par commande.

# Résumé de base
sa

# Trier par le nombre d'appels
sa -n

# Afficher les informations par utilisateur
sa -m

ac : Temps de connexion par utilisateur

Affiche le temps de connexion total des utilisateurs en heures.

# Temps total par utilisateur
ac -p

# Temps total pour tous les utilisateurs
ac

Fichiers de log et Rotation

Les données sont stockées par défaut dans /var/log/account/pacct. Ce fichier peut grossir rapidement.

Configuration de la rotation

Il est crucial de mettre en place une rotation des logs avec logrotate. Créez un fichier /etc/logrotate.d/acct :

sudo nano /etc/logrotate.d/acct

Contenu du fichier :

/var/log/account/pacct {
    weekly
    rotate 4
    compress
    missingok
    notifempty
    create 0644 root root
}
Gestion de l'espace disque
Sans rotation, le fichier de log de acct peut saturer votre partition racine. Ne négligez pas cette étape !

Conclusion

L'outil acct ou psacct est un excellent moyen de renforcer la sécurité et la surveillance de vos systèmes Linux. Il fournit une traçabilité indispensable pour l'audit et l'analyse de performance. Son installation et sa configuration sont simples, mais n'oubliez pas de gérer la rotation de ses logs pour une utilisation sereine en production.

Tutoriels connexes

Monitoring

Auditd

 Security

Fail2Ban

 Security

IPTables