一,問題現象:
1,一臺新伺服器上安裝了snoopy之後,
發現一個問題,它只能記錄root的操作命令,
其他使用者的操作命令完全記錄不下來
2,檢視配置:
[root@backup ~]# snoopyctl conf
; Options from config file (or defaults): /etc/snoopy.ini
[snoopy]
error_logging = yes
filter_chain = exclude_uid:0
message_format = [%{datetime:%Y-%m-%d %H:%M:%S} %{ipaddr} %{eusername} uid:%{uid} sid:%{sid} tty:%{tty} cwd:%{cwd} filename:%{filename}]: %{cmdline}
output = file:/var/log/snoopy.log
syslog_facility = AUTHPRIV
syslog_ident = snoopy
syslog_level = INFO我把filter_chain 設定為 exclude_uid:0,
這次徹底什麼記錄都沒有了
二,原因和解決:
1,看到了這個頁面,
https://github.com/a2o/snoopy/issues/67忽然想到了是許可權問題,
主要是以前安裝snoopy時忘記有沒有配置日誌的許可權,
所以遇到這個問題後總也想不到原因
2, 解決:
放開許可權,允許其他使用者寫入即可
[root@backup ~]# chmod 777 /var/log/snoopy.log 這樣有點隱患,如果把要記錄的使用者都加到同一個組,
日誌檔案owner/group設定為相應組,然後應該更安全
大家有更好的解決辦法可以在評論區提示我