一,问题现象:
1,一台新服务器上安装了snoopy之后,
发现一个问题,它只能记录root的操作命令,
其他用户的操作命令完全记录不下来
2,查看配置:
[root@backup ~]# snoopyctl conf
; Options from config file (or defaults): /etc/snoopy.ini
[snoopy]
error_logging = yes
filter_chain = exclude_uid:0
message_format = [%{datetime:%Y-%m-%d %H:%M:%S} %{ipaddr} %{eusername} uid:%{uid} sid:%{sid} tty:%{tty} cwd:%{cwd} filename:%{filename}]: %{cmdline}
output = file:/var/log/snoopy.log
syslog_facility = AUTHPRIV
syslog_ident = snoopy
syslog_level = INFO
我把filter_chain 设置为 exclude_uid:0,
这次彻底什么记录都没有了
二,原因和解决:
1,看到了这个页面,
https://github.com/a2o/snoopy/issues/67
忽然想到了是权限问题,
主要是以前安装snoopy时忘记有没有配置日志的权限,
所以遇到这个问题后总也想不到原因
2, 解决:
放开权限,允许其他用户写入即可
[root@backup ~]# chmod 777 /var/log/snoopy.log
这样有点隐患,如果把要记录的用户都加到同一个组,
日志文件owner/group设置为相应组,然后应该更安全
大家有更好的解决办法可以在评论区提示我
标签:操作命令,uid,记录,snoopy,root,log From: https://www.cnblogs.com/architectforest/p/18433321