اليوم ، كانت هناك حاجة لرصد التغييرات على بعض الملفات على الخادم ، فهناك العديد من الطرق المختلفة ، على سبيل المثال ، طلب من facebook ، لكن منذ أن بدأت مؤخرًا استخدام Open Distro for Elasticsearch ، قررت أن أراقب الملفات بمرونة ، واحدة من ملفاتها 'beat'ov .
لن أصف تركيب رصيف Elastics و Auditbeat ، كل ذلك وفقًا للدلائل ، الشيء الوحيد هو ، بعد التثبيت ، تحرير ملف auditbeat.yml ، قم بإضافة المسار إلى الملف الذي تم مراقبته إلى وحدة file_integrity .
بعد الإعداد والبدء ، سيعرض kibana فهرس التدقيق *
بعد ذلك ، قم بإنشاء مراقبة ، وحدد اسم المراقبة ، وفاصل المسح ، وكذلك نوع المراقبة وملف الفهرس:
في استعلام تعريف الاستخراج ، اكتب ما يلي:
تحديد استعلام استخراج{ "query": { "bool": { "must": [ { "match_phrase": { "file.path": { "query": "</ >" } } } ], "filter": [ { "term": { "event.action": { "value": "attributes_modified" # , created deleted } } }, { "range": { "@timestamp": { "from": "now-1m" # } } } ], "adjust_pure_negative": true, "boost": 1 } } }
بعد الضغط على زر "تشغيل" والتحقق من الطلب ، يجب أن يظهر هذا:
نحاول تغيير الملف الهدف وتشغيل الطلب مرة أخرى:
كما ترى ، فقد تغيرت الزيارات بمقدار 2 ، انقر فوق "تحديث" وقم بإنشاء مشغل لتغيير القيمة:
نترك كل شيء كما في الصورة.
بعد ذلك ، يمكنك تكوين الإشعارات في الركود أو رسول آخر.