Í dag þarf að fylgjast með breytingum á ákveðnum skrám á þjóninum, það eru margar mismunandi leiðir til dæmis , en síðan ég byrjaði nýlega að nota ákvað að fylgjast með skrám með teygju, einn af hans .
Ég mun ekki lýsa uppsetningu Elastics stack og Auditbeat, allt er í samræmi við handbækur, eina málið er, eftir uppsetningu, breyttu skránni auditbeat.yml, að mát file_integrity bæta slóðinni við rakta skrána.
Eftir uppsetningu og ræsingu mun vísitala birtast í kibana auditbeat-*
Næst búum við til vöktun, tilgreinum vöktunarheitið, athugabil, svo og vöktunargerðina og vísitöluskrána:
в Skilgreindu útdráttarfyrirspurn við skrifum eftirfarandi:
Skilgreindu útdráttarfyrirspurn
{
"query": {
"bool": {
"must": [
{
"match_phrase": {
"file.path": {
"query": "<путь/к отслеживаемому файлу>"
}
}
}
],
"filter": [
{
"term": {
"event.action": {
"value": "attributes_modified" #изменения атрибутов, возможно created или deleted
}
}
},
{
"range": {
"@timestamp": {
"from": "now-1m" #период за который отслеживаем изменение
}
}
}
],
"adjust_pure_negative": true,
"boost": 1
}
}
}Smelltu síðan á Run hnappinn og athugaðu beiðnina, þetta ætti að birtast:
Við skulum reyna að breyta markskránni og keyra beiðnina aftur:
eins og þú sérð smellir breytt í 2, smelltu á uppfæra og búðu til kveikju til að breyta gildinu:
Við skiljum allt eftir eins og á myndinni.
Næst geturðu sett upp tilkynningar í slökun eða öðrum boðbera.
Heimild: www.habr.com
