Hari ini ada kebutuhan untuk memantau perubahan pada file-file tertentu di server, ada banyak cara berbeda, misalnya, osquery dari facebook , tetapi karena saya baru-baru ini mulai menggunakan Open Distro untuk Elasticsearch, saya memutuskan untuk memonitor file dengan elastis, salah satunya beat'ov .
Saya tidak akan menjelaskan pemasangan tumpukan Elastik dan Auditbeat, semua sesuai dengan manual, satu-satunya hal adalah, setelah instalasi, edit file auditbeat.yml , tambahkan path ke file yang dipantau ke modul file_integrity .
Setelah mengatur dan memulai, kibana akan menampilkan indeks auditbeat- *
Selanjutnya, buat pemantauan, tentukan nama pemantauan, interval pemindaian, serta jenis pemantauan dan file indeks:
di Tentukan kueri ekstraksi, tulis yang berikut ini:
Tentukan kueri ekstraksi{ "query": { "bool": { "must": [ { "match_phrase": { "file.path": { "query": "</ >" } } } ], "filter": [ { "term": { "event.action": { "value": "attributes_modified" # , created deleted } } }, { "range": { "@timestamp": { "from": "now-1m" # } } } ], "adjust_pure_negative": true, "boost": 1 } } }
Setelah kami menekan tombol Run dan memeriksa permintaan, ini akan muncul:
Kami mencoba mengubah file target dan menjalankan permintaan lagi:
seperti yang Anda lihat, klik telah berubah sebanyak 2, klik perbarui dan buat pemicu untuk mengubah nilainya:
Kami meninggalkan semuanya seperti pada gambar.
Selanjutnya, Anda dapat mengkonfigurasi notifikasi di slack atau messenger lain.