An-diugh tha feum air sùil a chumail air atharrachaidhean air cuid de na faidhlichean air an fhrithealaiche, tha iomadh dòigh eadar-dhealaichte, mar eisimpleir , ach bhon a thòisich mi o chionn ghoirid a 'cleachdadh cho-dhùin iad sùil a chumail air faidhlichean le elastic, aon de na faidhlichean aige .
Cha toir mi cunntas air stàladh Elastics stack agus Auditbeat, tha a h-uile dad a rèir na leabhraichean-làimhe, is e an aon rud, às deidh an stàladh, am faidhle a dheasachadh auditbeat.yml, gu modal faidhle_ionracas cuir an t-slighe ris an fhaidhle rianail.
Às deidh rèiteachadh agus cur air bhog, nochdaidh clàr-amais ann an kibana buille-sgrùdaidh -*
An uairsin, cruthaichidh sinn sgrùdadh, sònraich an t-ainm sgrùdaidh, an ùine sgrùdaidh, a bharrachd air an seòrsa sgrùdaidh agus faidhle clàr-amais:
в Sònraich ceist às-tharraing bidh sinn a’ sgrìobhadh na leanas:
Sònraich ceist às-tharraing
{
"query": {
"bool": {
"must": [
{
"match_phrase": {
"file.path": {
"query": "<путь/к отслеживаемому файлу>"
}
}
}
],
"filter": [
{
"term": {
"event.action": {
"value": "attributes_modified" #изменения атрибутов, возможно created или deleted
}
}
},
{
"range": {
"@timestamp": {
"from": "now-1m" #период за который отслеживаем изменение
}
}
}
],
"adjust_pure_negative": true,
"boost": 1
}
}
}An uairsin cliog air a’ phutan Run agus thoir sùil air an iarrtas, bu chòir seo nochdadh:
Feuchaidh sinn ris am faidhle targaid atharrachadh agus an t-iarrtas a ruith a-rithist:
mar a tha thu faicinn buillean atharrachadh gu 2, cliog air ùrachadh agus cruthaich inneal-brosnachaidh gus an luach atharrachadh:
Bidh sinn a’ fàgail a h-uile càil mar a tha san dealbh.
An uairsin, faodaidh tu fiosan a chuir air dòigh ann an slack no teachdaire eile.
Source: www.habr.com
