论坛 › Linux运维 › SNOOPY命令日志审计

DevOpsSec 发表于 2019-11-12 19:35:00

SNOOPY命令日志审计

本帖最后由 DevOpsSec 于 2019-11-12 19:35 编辑

snoopy介绍
由于有非常多的linux服务器需要管理，为了审计管理员的操作，以确认各自的职责，需要对linux服务器进行审计，通过比较选择了snoopy这个开源方案。
snoopy是一款可以记录用户执行命令并输出到文件的一款日志审计软件。
GitHub地址：https://github.com/a2o/snoopy

1. snoopy安装
# wget http://source.a2o.si/download/snoopy/snoopy-2.4.6.tar.gz
# tar xf snoopy-2.4.6.tar.gz
# cd snoopy-2.4.6/
# yum install -y socat
# ./configure --prefix=/usr/local/snoopy && make && make install
# /usr/local/snoopy/sbin/snoopy-enable
SNOOPY: Adding to /etc/ld.so.preload:   /usr/local/snoopy/lib/libsnoopy.so
SNOOPY: Hint #1: Reboot your machine to load Snoopy system-wide.
SNOOPY: Hint #2: Check your log files for output.
SNOOPY: Enabled.
# cat /etc/ld.so.preload
/usr/local/snoopy/lib/libsnoopy.so
snoopy-enable,此时snoopy会在/etc/ld.so.preload添加/opt/snoopy/lib/libsnoopy.so,这个是语句是将snoopy自身的so预加载，已达到监控系统的exec调用

查看输出日志
Oct 16 11:15:38 linux-node1 snoopy: : ps aux
Oct 16 11:20:01 linux-node1 snoopy: : /usr/lib64/sa/sa1 1 1
Oct 16 11:20:01 linux-node1 snoopy: : /usr/sbin/ntpdate time1.aliyun.com
Oct 16 11:20:01 linux-node1 snoopy: : date +%d
Oct 16 11:20:01 linux-node1 snoopy: : date +%Y%m
2. snoopy配置
snoopy配置文件是/usr/local/snoopy/etc/snoopy.ini。

过滤器链规范
必须遵守下列规则：

可以指定一个或多个过滤器，用分号分隔，
每个过滤器可能包含冒号后面的参数，
过滤器可以接受多个参数，用逗号分隔，
过滤器链不能包含任何空格（允许在过滤器参数中，但通常不允许）。
可用过滤器列表
; - exclude_spawns_of; (available=yes) Exclude log entries that occur in specified process trees            排除日志条目在指定进程树执行的命令
; - exclude_uid      ; (available=yes) Exclude these UIDs from logging                                        排除指定UID的用户执行的命令
; - only_root          ; (available=yes) Only log root commands                                                 只记录root用户执行命令
; - only_tty         ; (available=yes) Only log commands associated with a TTY                              只有登录tty相关命令
; - only_uid         ; (available=yes) Only log commands executed by these UIDs                               只记录UID执行命令
定义的样本定义

; - filter_chain = "exclude_uid:0"      # Log all commands, except the ones executed by root                  日志的所有命令，除了root用户执行的命令
; - filter_chain = "exclude_uid:1,2,3"# Log all commands, except those executed by users with UIDs 1, 2 and 3日志记录除了由1, 2和3的UID用户执行的命令
; - filter_chain = "only_uid:0"          # Log only root commands                                                日志只有root执行的命令
; - filter_chain = "exclude_spawns_of:cron,my_daemon" # Do not log commands spawned by cron or my_daemon          日志不记录cron定时任务或守护进程执行的命令
; - filter_chain = "filter1:arg11;filter2:arg21,arg22;filter3:arg31,32,33"
;默认值：
;""（空字符串）
3. 过滤配置实例
filter_chain = "exclude_uid:500"                         # 不记录UID为500的用户执行的命令
filter_chain = "exclude_spawns_of:crond"               # 不记录定时任务中执行的命令
filter_chain = "only_uid:0"                              # 只记录UID为0执行的命令
filter_chain = "exclude_uid:500;exclude_spawns_of:crond" # 指定多个过滤条件

查看完整版本: SNOOPY命令日志审计