Logira é uma ferramenta de auditoria de tempo de execução baseada em eBPF para Linux que rastreia o que agentes de IA e automações realmente fazem no nível do sistema operacional. Ela registra execução de processos, atividade de arquivos e atividade de rede usando rastreamento com escopo de execução do cgroup v2, atribuindo eventos a execuções auditadas individuais.

Recursos Principais

A ferramenta fornece armazenamento local por execução nos formatos JSONL e SQLite para revisão e consulta de linha do tempo. Inclui regras de detecção padrão focadas na auditoria de agentes de IA, com regras personalizadas opcionais em YAML. Logira é apenas para observação por design — ela registra e detecta, mas nunca bloqueia ou aplica.

Detecções Padrão

• Gravações de credenciais e segredos: ~/.ssh, ~/.aws, configurações kube/gcloud/docker, .netrc, .git-credentials, credenciais de registro
• Leituras de credenciais sensíveis: chaves privadas SSH, credenciais/configurações AWS, kubeconfig, configuração docker, .netrc, .git-credentials
• Alterações de persistência e configuração: gravações em /etc, unidades systemd, cron, entradas de inicialização automática do usuário, arquivos de inicialização do shell
• Droppers temporários: arquivos executáveis criados em /tmp, /dev/shm, /var/tmp
• Padrões de execução suspeitos: curl|sh, wget|sh, ferramentas e flags de tunelamento/shell reverso, decodificação base64 com dicas de shell
• Padrões destrutivos de segurança do agente: rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy e comandos similares
• Saída de rede: portas de destino suspeitas e acesso a endpoint de metadados da nuvem

Instalação

Instalação recomendada via script:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

Ou instalação manual a partir do tarball de lançamento:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

Após a instalação ou atualização, reinicie o daemon:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

Como Executar

O daemon raiz logirad é executado via systemd. As etapas de instalação incluem:

# 1) Gerar objetos eBPF (apenas necessário se faltarem)
make generate

2) Instalar a unidade systemd
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Instalar o binário do daemon (a unidade usa por padrão /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Recomendado) Apontar o systemd para os arquivos .o do eBPF via um arquivo de ambiente
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

Regras personalizadas podem ser anexadas por execução com logira run --rules <file>.