🥇Elasticsearch-നുള്ള Alerting OpenDistro ഉപയോഗിച്ച് ഫയൽ മാറ്റങ്ങൾ നിരീക്ഷിക്കുന്നു

ഇന്ന് സെർവറിലെ ചില ഫയലുകളിലെ മാറ്റങ്ങൾ നിരീക്ഷിക്കേണ്ടത് ആവശ്യമാണ്, ഉദാഹരണത്തിന്, നിരവധി വ്യത്യസ്ത മാർഗങ്ങളുണ്ട് ഫേസ്ബുക്കിൽ നിന്നുള്ള ഒസ്ക്വറി, എന്നാൽ ഞാൻ അടുത്തിടെ ഉപയോഗിക്കാൻ തുടങ്ങിയത് മുതൽ ഇലാസ്റ്റിക് തിരയലിനായി ഡിസ്ട്രോ തുറക്കുക ഇലാസ്റ്റിക് ഉപയോഗിച്ച് ഫയലുകൾ നിരീക്ഷിക്കാൻ തീരുമാനിച്ചു അടിയുടെ.

ഇലാസ്റ്റിക് സ്റ്റാക്കിന്റെയും ഓഡിറ്റ്ബീറ്റിന്റെയും ഇൻസ്റ്റാളേഷൻ ഞാൻ വിവരിക്കില്ല, എല്ലാം മാനുവലുകൾ അനുസരിച്ചാണ്, ഒരേയൊരു കാര്യം, ഇൻസ്റ്റാളേഷന് ശേഷം, ഫയൽ എഡിറ്റ് ചെയ്യുക auditbeat.yml, മൊഡ്യൂളിലേക്ക് ഫയൽ_സമഗ്രത ട്രാക്ക് ചെയ്ത ഫയലിലേക്ക് പാത്ത് ചേർക്കുക.

കോൺഫിഗറേഷനും ലോഞ്ചിനും ശേഷം, കിബാനയിൽ ഒരു സൂചിക ദൃശ്യമാകും ഓഡിറ്റ് ബീറ്റ്-*

അടുത്തതായി, ഞങ്ങൾ നിരീക്ഷണം സൃഷ്ടിക്കുന്നു, മോണിറ്ററിംഗ് നാമം വ്യക്തമാക്കുക, ഇടവേള പരിശോധിക്കുക, അതുപോലെ മോണിറ്ററിംഗ് തരവും സൂചിക ഫയലും:

в എക്‌സ്‌ട്രാക്ഷൻ ചോദ്യം നിർവ്വചിക്കുക ഞങ്ങൾ ഇനിപ്പറയുന്നവ എഴുതുന്നു:

എക്‌സ്‌ട്രാക്ഷൻ ചോദ്യം നിർവ്വചിക്കുക

{
    "query": {
        "bool": {
            "must": [
                {
                    "match_phrase": {
                        "file.path": {
                            "query": "<путь/к отслеживаемому файлу>"

                        }
                    }
                }
            ],
            "filter": [
                {
                    "term": {
                        "event.action": {
                            "value": "attributes_modified"    #изменения атрибутов, возможно created  или deleted

                        }
                    }
                },
                {
                    "range": {
                        "@timestamp": {
                            "from": "now-1m" #период за который отслеживаем изменение 

                        }
                    }
                }
            ],
            "adjust_pure_negative": true,
            "boost": 1
        }
    }
}

തുടർന്ന് റൺ ബട്ടൺ ക്ലിക്കുചെയ്‌ത് അഭ്യർത്ഥന പരിശോധിക്കുക, ഇത് ദൃശ്യമാകും: