Originaire d'Ansible, vous pouvez utiliser son journalisation intégrée des tâches vers syslog, et des plugins de rappel qui peuvent envoyer vers divers destinations. Y compris des plugins personnalisés, c'est ainsi que l'addon ARA enregistre l'historique d'Ansible.
Les systèmes distants n'exécutent pas toujours ansible-playbook. Le code du module est copié, pour les modules Python avec Ansiballz. Seuls des fichiers temporaires ou des tuyaux stdin sont exécutés.
Remarque : notez que les modules Ansible non-Python sont techniquement possibles mais rares. Surveiller les execs Python ne permettra pas de attraper l'utilisateur dédié à Ansible qui a créé des modules Perl ou Go.
Linux auditd est limité en ce sens que l'exe sur lequel vous pouvez filtrer est le binaire de l'interpréteur (python) et pas le script (ansible-playbook). Filtrer sur le python système et vous verrez tous les scripts python s'exécuter sur le système. Avoir un python spécifique à Ansible (virtualenv) et toujours rien n'empêche d'autres choses (ansible-inventory) d'utiliser ce python.
Vous pouvez filtrer les événements d'audit pour un utilisateur spécifique, utile si vous exécutez toujours les plays en tant qu'utilisateur.
Remarque : auditd est efficace pour suivre l'escalade de privilèges en général. Si c'est quelque chose que vous voulez suivre de près, regardez les règles d'exemple dans le code source de l'espace utilisateur d'audit. Par exemple, la règle "Toute élévation des privilèges est enregistrée" pci-dss.
