現在、サーバー上の特定のファイルへの変更を監視する必要があります。さまざまな方法があります。たとえば、 ですが、最近使い始めたので 彼のファイルの 1 つである elastic を使用してファイルを監視することにしました。 .
ElasticsスタックとAuditbeatのインストールについては説明しません。すべてマニュアルに従っています。インストール後にファイルを編集するだけです。 監査ビート.yml、モジュールへ ファイルの整合性 追跡されたファイルへのパスを追加します。
設定して起動すると、kibana にインデックスが表示されます。 監査ビート-*
次に、モニタリングを作成し、モニタリング名、チェック間隔、モニタリング タイプ、インデックス ファイルを指定します。
в 抽出クエリを定義する 次のように書きます。
抽出クエリを定義する
{
"query": {
"bool": {
"must": [
{
"match_phrase": {
"file.path": {
"query": "<путь/к отслеживаемому файлу>"
}
}
}
],
"filter": [
{
"term": {
"event.action": {
"value": "attributes_modified" #изменения атрибутов, возможно created или deleted
}
}
},
{
"range": {
"@timestamp": {
"from": "now-1m" #период за который отслеживаем изменение
}
}
}
],
"adjust_pure_negative": true,
"boost": 1
}
}
}次に、「実行」ボタンをクリックしてリクエストを確認すると、次のように表示されます。
ターゲット ファイルを変更してリクエストを再度実行してみましょう。
ご覧のように ヒット 2 に変更したら、「更新」をクリックして、値を変更するトリガーを作成します。
写真の通りすべてを残します。
次に、Slack または別のメッセンジャーで通知を設定できます。
出所: habr.com
