Назад | Перейти на главную страницу

Инструменты отчетности для auditd

Мне нужно настроить аудит в моей среде, в частности, мониторинг целостности файлов. я пробовал OSSEC, но оказалось громоздким. С тех пор я обнаружил auditd (уже установлен в моей системе CentOS 6) и обнаружил, что это простое, но мощное решение для аудита.

Я знаю об инструменте командной строки aureport для создания статистики или списков изменений файлов, записанных auditd, и это прекрасно работает. Однако в настоящее время у меня около 100 хостов Linux, и мне нужно найти более плавный способ получать уведомления об изменениях в критических файлах. Существуют ли какие-либо инструменты отчетности с открытым исходным кодом или панели мониторинга, которые находятся поверх auditd для объединения нескольких хостов в сети? Я ничего не видел при поиске в сети и github.

В качестве бонуса было бы удобно объединить изменения файлов, о которых сообщает auditd, с отчетами об изменениях файлов из отчетов puppetmaster / puppetDB, чтобы показать, что изменение ожидается, и не запускать предупреждение или не отображаться в отчет.

Есть какие-нибудь рекомендации по существующим решениям или советы по этой теме мониторинга целостности файлов?

В последних версиях auditd есть диспетчер, который поддерживает отправку событий в системный журнал, поэтому вы можете выполнять обработку через централизованную систему ведения журнала (при условии, что она у вас есть).

Изменить: марионетка поддерживает системный журнал в качестве журнала событий, поэтому вы также можете выполнять корреляцию.