Aujourd'hui, il était nécessaire de surveiller les modifications apportées à certains fichiers sur le serveur, il existe de nombreuses façons différentes, par exemple, l' osquery de Facebook , mais depuis que j'ai récemment commencé à utiliser Open Distro pour Elasticsearch, j'ai décidé de surveiller les fichiers avec un élastique, l'un de ses beat'ov .
Je ne décrirai pas l'installation de la pile Elastics et d'Auditbeat, tous selon les manuels, la seule chose est, après l'installation, éditez le fichier auditbeat.yml , ajoutez le chemin du fichier surveillé au module file_integrity .
Après la configuration et le démarrage, kibana affichera l'index auditbeat- *
Ensuite, créez une surveillance, spécifiez le nom de la surveillance, l'intervalle d'analyse, ainsi que le type de fichier de surveillance et d'index:
dans la requête d'extraction Définir, écrivez ce qui suit:
Définir la requête d'extraction{ "query": { "bool": { "must": [ { "match_phrase": { "file.path": { "query": "</ >" } } } ], "filter": [ { "term": { "event.action": { "value": "attributes_modified" # , created deleted } } }, { "range": { "@timestamp": { "from": "now-1m" # } } } ], "adjust_pure_negative": true, "boost": 1 } } }
Après avoir appuyé sur le bouton Exécuter et vérifié la demande, cela devrait apparaître:
Nous essayons de modifier le fichier cible et réexécutons la demande:
comme vous pouvez le voir, les hits ont changé de 2, cliquez sur mettre à jour et créez un déclencheur pour changer la valeur:
Nous laissons tout comme sur la photo.
Ensuite, vous pouvez configurer les notifications dans Slack ou un autre messager.