如今,需要监视服务器上某些文件的更改,有许多不同的方式,例如来自facebook的osquery ,但是由于我最近开始使用Open Distro for Elasticsearch,所以我决定监视带有弹性的文件,它是beat'ov之一 。
我将不按照所有手册描述Elastics stack和Auditbeat的安装,唯一的是在安装后,编辑auditbeat.yml文件,将受监视文件的路径添加到file_integrity模块。
设置并启动后,kibana将显示auditbeat- *索引
接下来,创建一个监视,指定监视的名称,扫描间隔以及监视和索引文件的类型:
在“ 定义提取”查询中,编写以下内容:
定义提取查询{ "query": { "bool": { "must": [ { "match_phrase": { "file.path": { "query": "</ >" } } } ], "filter": [ { "term": { "event.action": { "value": "attributes_modified" # , created deleted } } }, { "range": { "@timestamp": { "from": "now-1m" # } } } ], "adjust_pure_negative": true, "boost": 1 } } }
在我们按下“运行”按钮并检查请求之后,应该会出现:
我们尝试更改目标文件并再次运行请求:
如您所见, 点击数已更改2,点击更新,并创建一个触发器来更改值:
我们将所有内容保留在图片中。
接下来,您可以在松弛状态或其他Messenger中配置通知。