Erzeugen der Log-Markierung für Logprof

Der Befehl logprof kann unter Angabe einer Protokollmarkierung gestartet werden. Der Befehl analysiert dann nur die Protokolleinträge ab dieser Markierung. Der Befehl genprof erzeugt selbst die Markierung und ruft logprof anschließend mit der Markierung auf. Das können Sie aber auch selbst. Zunächst müssen Sie prüfen, ob Ihr System den Auditd-Daemon einsetzt. Ist dies der Fall, so müssen Sie lediglich den Zeitstempel der letzten Audit-Meldung auslesen.

type=APPARMOR msg=audit(1155038603.784:322): REJECTING access to capability 'net_raw' (nmap(28483) profile /usr/bin/nmap active /usr/bin/nmap)

Bei der angegebenen Protokollmeldung entspricht die Markierung also 1155038603.784:322. Der entsprechende Aufruf von Logprof lautet dann:

$ logprof -m 1155038603.784:322

Wird der Auditd-Daemon nicht eingesetzt, werden die AppArmor-Meldungen in die Datei /var/log/messages geschrieben. Da die Zeitstempel hier nicht die notwendige Genauigkeit aufweisen, benötigt Logprof hier eine Markierung. Diese können Sie selbst mit dem Kommando logger erzeugen. Zunächst benötigen Sie eine beliebige 16-stellige hexadezimale Zahl. Genprof selbst verwendet hierzu die MD5-Prüfsumme des aktuellen Datums. Möchten Sie es genauso machen, verwenden Sie:

$ date | md5sum
7d5f01a70c0d465737a8dc8625016ce4  -
$ logger -p kern.warn 'GenProf: 7d5f01a70c0d465737a8dc8625016ce4'

Der anschließende Aufruf von Logprof erfolgt dann mit:

$ logprof -m 7d5f01a70c0d465737a8dc8625016ce4