Мне нужно настроить аудит в моей среде, в частности, мониторинг целостности файлов. я пробовал OSSEC, но оказалось громоздким. С тех пор я обнаружил auditd
(уже установлен в моей системе CentOS 6) и обнаружил, что это простое, но мощное решение для аудита.
Я знаю об инструменте командной строки aureport
для создания статистики или списков изменений файлов, записанных auditd
, и это прекрасно работает. Однако в настоящее время у меня около 100 хостов Linux, и мне нужно найти более плавный способ получать уведомления об изменениях в критических файлах. Существуют ли какие-либо инструменты отчетности с открытым исходным кодом или панели мониторинга, которые находятся поверх auditd
для объединения нескольких хостов в сети? Я ничего не видел при поиске в сети и github.
В качестве бонуса было бы удобно объединить изменения файлов, о которых сообщает auditd, с отчетами об изменениях файлов из отчетов puppetmaster / puppetDB, чтобы показать, что изменение ожидается, и не запускать предупреждение или не отображаться в отчет.
Есть какие-нибудь рекомендации по существующим решениям или советы по этой теме мониторинга целостности файлов?
В последних версиях auditd есть диспетчер, который поддерживает отправку событий в системный журнал, поэтому вы можете выполнять обработку через централизованную систему ведения журнала (при условии, что она у вас есть).
Изменить: марионетка поддерживает системный журнал в качестве журнала событий, поэтому вы также можете выполнять корреляцию.