Auditando com Snoopy

Pessoal hoje iremos abordar o sistema de auditoria chamado Snoopy, é uma ferramenta muito simples porém extremamente poderosa, quando falamos em log de usuário do sistema logo nos referimos ao “auth.log” ele nos mostra registro de comandos como “su”, “sudo”, conexões ssh, etc.., porém não mostra o que o usuário “cosmos” fez após ter se logado no sistema, ai é que entra o snoopy, com ele conseguimos saber exatamente quais comandos foram executados por qual usuário, que horas, qual foi a pid gerada, qual o uid do usuário, enfim é uma ferramenta que nos ajuda bastante na hora de alguma auditoria, e ela se torna ainda mais poderosa quando esta trabalhando junto com um servidor de log remoto como o syslog-ng por exemplo, para saber como configurar um servidor de log siga as instruções no link abaixo:


http://guiadoti.blogspot.com.br/2012/06/configurando-um-servidor-de-logs-com.html

Bem chega de papo e vamos colocar a mão na massa, para instalar o snoopy é só executar:

# aptitude install snoopy

Durante a instalação do snoopy ele irá perguntar se você deseja inserir a biblioteca dentro do arquivo “/etc/ld.so.preload”, clique em sim para confirmar.

Depois do snoopy instalado é só digitar:

# tail –f /var/log/auth.log

Para acompanhar os logs inseridos no arquivo em tempo real, e em outro terminal logar com algum usuário e executar alguns comandos do dia a dia para ver o que acontece no /var/log/auth.log.

Bem pessoal é isso ai, espero que este tuto seja útil pra vocês, até a próxima.