Logiraは、AIエージェントと自動化がOSレベルで実際に何を行うかを追跡する、eBPFベースのLinux用ランタイム監査ツールです。cgroup v2の実行スコープ追跡を使用してプロセスの実行、ファイルアクティビティ、ネットワークアクティビティを記録し、イベントを単一の監査対象実行に帰属させます。

主な機能

このツールは、タイムラインのレビューとクエリのために、実行ごとにJSONLとSQLite形式の両方でローカルストレージを提供します。AIエージェント監査に焦点を当てたデフォルトの検出ルールを含み、オプションでカスタムYAMLルールも使用できます。Logiraは設計上監視専用であり、記録と検出を行いますが、ブロックや強制は一切行いません。

デフォルトの検出項目

• 資格情報とシークレットの書き込み: ~/.ssh、~/.aws、kube/gcloud/docker設定、.netrc、.git-credentials、レジストリ資格情報
• 機密資格情報の読み取り: SSH秘密鍵、AWS資格情報/設定、kubeconfig、docker設定、.netrc、.git-credentials
• 永続性と設定の変更: /etc以下の書き込み、systemdユニット、cron、ユーザー自動起動エントリ、シェル起動ファイル
• 一時的なドロッパー: /tmp、/dev/shm、/var/tmp以下に作成された実行可能ファイル
• 疑わしい実行パターン: curl|sh、wget|sh、トンネリング/リバースシェルツールとフラグ、シェルヒント付きのbase64デコード
• エージェント安全性の破壊的パターン: rm -rf、git clean -fdx、find -delete、mkfs、terraform destroy、および類似のコマンド
• ネットワークエグレス: 疑わしい宛先ポートとクラウドメタデータエンドポイントへのアクセス

インストール

スクリプトによるインストールを推奨します:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

または、リリースtarballから手動インストール:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

インストールまたはアップグレード後、デーモンを再起動します:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

実行方法

ルートデーモンlogiradはsystemd経由で実行されます。インストール手順には以下が含まれます:

# 1) eBPFオブジェクトを生成（欠落している場合のみ必要）
make generate

2) systemdユニットをインストール
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) デーモンバイナリをインストール（ユニットはデフォルトで/usr/local/bin/logiradを指す）
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) （推奨）環境ファイル経由でsystemdにeBPF .oファイルを指定
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

カスタムルールは、logira run --rules <file>で実行ごとに追加できます。