snoopy命令日志审计

1. snoopy介绍

由于有非常多的linux服务器需要管理，为了审计管理员的操作，以确认各自的职责，需要对linux服务器进行审计，通过比较选择了snoopy这个开源方案。
snoopy是一款可以记录用户执行命令并输出到文件的一款日志审计软件。
GitHub地址：https://github.com/a2o/snoopy

2. snoopy安装

[root@linux-node1 ~]# wget http://source.a2o.si/download/snoopy/snoopy-2.4.6.tar.gz
[root@linux-node1 ~]# tar xf snoopy-2.4.6.tar.gz
[root@linux-node1 ~]# cd snoopy-2.4.6/
[root@linux-node1 snoopy-2.4.6]# yum install -y socat
[root@linux-node1 snoopy-2.4.6]# ./configure --prefix=/usr/local/snoopy && make && make install
[root@linux-node1 snoopy-2.4.6]# /usr/local/snoopy/sbin/snoopy-enable 
SNOOPY: Adding to /etc/ld.so.preload:     /usr/local/snoopy/lib/libsnoopy.so
SNOOPY: Hint #1: Reboot your machine to load Snoopy system-wide.
SNOOPY: Hint #2: Check your log files for output.
SNOOPY: Enabled.
[root@linux-node1 snoopy-2.4.6]# cat /etc/ld.so.preload
/usr/local/snoopy/lib/libsnoopy.so

snoopy-enable,此时snoopy会在/etc/ld.so.preload添加/opt/snoopy/lib/libsnoopy.so,这个是语句是将snoopy自身的so预加载，已达到监控系统的exec调用

查看输出日志

Oct 16 11:15:38 linux-node1 snoopy[1287]: [uid:0 sid:1203 tty:/dev/pts/2 cwd:/root filename:/usr/bin/ps]: ps aux
Oct 16 11:20:01 linux-node1 snoopy[1293]: [uid:0 sid:1293 tty:(none) cwd:/root filename:/usr/lib64/sa/sa1]: /usr/lib64/sa/sa1 1 1
Oct 16 11:20:01 linux-node1 snoopy[1294]: [uid:0 sid:1292 tty:(none) cwd:/root filename:/usr/sbin/ntpdate]: /usr/sbin/ntpdate time1.aliyun.com
Oct 16 11:20:01 linux-node1 snoopy[1295]: [uid:0 sid:1293 tty:(none) cwd:/root filename:/usr/bin/date]: date +%d
Oct 16 11:20:01 linux-node1 snoopy[1296]: [uid:0 sid:1293 tty:(none) cwd:/root filename:/usr/bin/date]: date +%Y%m

3. snoopy配置

snoopy配置文件是/usr/local/snoopy/etc/snoopy.ini。

3.1. 过滤器链规范

必须遵守下列规则：

1. 可以指定一个或多个过滤器，用分号分隔，
2. 每个过滤器可能包含冒号后面的参数，
3. 过滤器可以接受多个参数，用逗号分隔，
4. 过滤器链不能包含任何空格（允许在过滤器参数中，但通常不允许）。

3.2. 可用过滤器列表

; - exclude_spawns_of  ; (available=yes) Exclude log entries that occur in specified process trees              排除日志条目在指定进程树执行的命令
; - exclude_uid        ; (available=yes) Exclude these UIDs from logging                                        排除指定UID的用户执行的命令
; - only_root          ; (available=yes) Only log root commands                                                 只记录root用户执行命令
; - only_tty           ; (available=yes) Only log commands associated with a TTY                                只有登录tty相关命令
; - only_uid           ; (available=yes) Only log commands executed by these UIDs                               只记录UID执行命令

3.3. 定义的样本定义

; - filter_chain = "exclude_uid:0"      # Log all commands, except the ones executed by root                    日志的所有命令，除了root用户执行的命令
; - filter_chain = "exclude_uid:1,2,3"  # Log all commands, except those executed by users with UIDs 1, 2 and 3  日志记录除了由1, 2和3的UID用户执行的命令
; - filter_chain = "only_uid:0"          # Log only root commands                                                日志只有root执行的命令
; - filter_chain = "exclude_spawns_of:cron,my_daemon" # Do not log commands spawned by cron or my_daemon          日志不记录cron定时任务或守护进程执行的命令
; - filter_chain = "filter1:arg11;filter2:arg21,arg22;filter3:arg31,32,33"
;默认值：
;""（空字符串）

3.4. 过滤配置实例

filter_chain = "exclude_uid:500"                         # 不记录UID为500的用户执行的命令
filter_chain = "exclude_spawns_of:crond"                 # 不记录定时任务中执行的命令
filter_chain = "only_uid:0"                              # 只记录UID为0执行的命令
filter_chain = "exclude_uid:500;exclude_spawns_of:crond" # 指定多个过滤条件