Hoy en día existe la necesidad de monitorear los cambios en ciertos archivos en el servidor, hay muchas formas diferentes, por ejemplo pero desde que recientemente comencé a usar decidió monitorear archivos con elástico, uno de sus .
No describiré la instalación de Elastics stack y Auditbeat, todo es de acuerdo a los manuales, lo único es, después de la instalación, editar el archivo. auditoríabeat.yml, al módulo integridad_archivo agregue la ruta al archivo rastreado.
Después de configurar y ejecutar, aparecerá un índice en kibana auditbeat-*
Luego, cree un monitoreo, especifique el nombre del monitoreo, el intervalo de verificación, así como el tipo de monitoreo y el archivo de índice:
в Definir consulta de extracción escribimos lo siguiente:
Definir consulta de extracción
{
"query": {
"bool": {
"must": [
{
"match_phrase": {
"file.path": {
"query": "<путь/к отслеживаемому файлу>"
}
}
}
],
"filter": [
{
"term": {
"event.action": {
"value": "attributes_modified" #изменения атрибутов, возможно created или deleted
}
}
},
{
"range": {
"@timestamp": {
"from": "now-1m" #период за который отслеживаем изменение
}
}
}
],
"adjust_pure_negative": true,
"boost": 1
}
}
}Después de presionar el botón Ejecutar y verificar la solicitud, debería aparecer esto:
Intentamos cambiar el archivo de destino y ejecutar la consulta nuevamente:
como se puede ver golpes cambiado a 2, haga clic en actualizar y cree un disparador para cambiar el valor:
Dejamos todo como en la foto.
A continuación, puede configurar notificaciones en Slack u otro mensajero.
Fuente: habr.com
