Logira es una herramienta de auditoría en tiempo de ejecución basada en eBPF para Linux que rastrea lo que los agentes de IA y la automatización realmente hacen a nivel del sistema operativo. Registra la ejecución de procesos, la actividad de archivos y la actividad de red utilizando el seguimiento por ámbito de ejecución de cgroup v2, atribuyendo eventos a ejecuciones auditadas individuales.

Características principales

La herramienta proporciona almacenamiento local por ejecución en formatos JSONL y SQLite para revisión y consulta de la línea de tiempo. Incluye reglas de detección predeterminadas centradas en la auditoría de agentes de IA, con reglas personalizadas opcionales en YAML. Logira es de solo observación por diseño: registra y detecta, pero nunca bloquea ni aplica.

Detecciones predeterminadas

• Escrituras de credenciales y secretos: ~/.ssh, ~/.aws, configuraciones de kube/gcloud/docker, .netrc, .git-credentials, credenciales de registro
• Lecturas de credenciales sensibles: claves privadas SSH, credenciales/configuración de AWS, kubeconfig, configuración de docker, .netrc, .git-credentials
• Cambios de persistencia y configuración: escrituras bajo /etc, unidades systemd, cron, entradas de inicio automático de usuario, archivos de inicio de shell
• Droppers temporales: archivos ejecutables creados bajo /tmp, /dev/shm, /var/tmp
• Patrones de ejecución sospechosos: curl|sh, wget|sh, herramientas y banderas de tunelización/shell inversa, decodificación base64 con indicios de shell
• Patrones destructivos de seguridad del agente: rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy y comandos similares
• Egreso de red: puertos de destino sospechosos y acceso a endpoints de metadatos en la nube

Instalación

Instalación recomendada mediante script:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

O instalación manual desde el tarball de lanzamiento:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

Después de la instalación o actualización, reinicie el demonio:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

Cómo ejecutar

El demonio raíz logirad se ejecuta mediante systemd. Los pasos de instalación incluyen:

# 1) Generar objetos eBPF (solo necesario si faltan)
make generate

2) Instalar la unidad systemd
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Instalar el binario del demonio (la unidad usa por defecto /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Recomendado) Apuntar systemd a los archivos .o de eBPF mediante un archivo de entorno
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

Se pueden agregar reglas personalizadas por ejecución con logira run --rules <archivo>.