Сегодня возникла потребность в мониторинге изменений определенных файлов на сервере, существует много разных способов например osquery от facebook, но так как недавно я начал пользоваться Open Distro for Elasticsearch решил мониторить файлы эластиком, одним из его beat'ов.
Установку Elastics stack и Auditbeat описывать не буду, все по мануалам, единственное, после установки отредактируйте файл auditbeat.yml, в модуль file_integrity добавьте путь к отслеживаемому файлу.
После настройки и запуска в kibana появится индекс auditbeat-*
Далее создаем мониторинг, указываем имя мониторинга, интервал проверки, а так же тип мониторинга и файл индекса:
в Define extraction query пишем следующее:
Define extraction query
После нажимаем кнопку Run и проверяем запрос, должно появиться вот такое:
Пробуем изменить целевой файл и опять запустить запрос:
как видите hits изменился на 2, нажимаем update и создаем тригер на изменение значения:
Оставляем все, как на картинке.
Далее можно настроить уведомления в slack или другой мессенджер.
Источник статьи: https://habr.com/ru/post/459554/
Установку Elastics stack и Auditbeat описывать не буду, все по мануалам, единственное, после установки отредактируйте файл auditbeat.yml, в модуль file_integrity добавьте путь к отслеживаемому файлу.
После настройки и запуска в kibana появится индекс auditbeat-*
![_vchisvguysfxsrreltz4doi9am.png](https://habrastorage.org/webt/_v/ch/is/_vchisvguysfxsrreltz4doi9am.png)
Далее создаем мониторинг, указываем имя мониторинга, интервал проверки, а так же тип мониторинга и файл индекса:
![rqmrnza6s4v2oegdcwutdtsf13k.png](https://habrastorage.org/webt/rq/mr/nz/rqmrnza6s4v2oegdcwutdtsf13k.png)
в Define extraction query пишем следующее:
Define extraction query
После нажимаем кнопку Run и проверяем запрос, должно появиться вот такое:
![wevtqa-ee8sjr-qlfcbdub9fty0.png](https://habrastorage.org/webt/we/vt/qa/wevtqa-ee8sjr-qlfcbdub9fty0.png)
Пробуем изменить целевой файл и опять запустить запрос:
![tzorssruusjbtsl1ng-34mbuxj0.png](https://habrastorage.org/webt/tz/or/ss/tzorssruusjbtsl1ng-34mbuxj0.png)
как видите hits изменился на 2, нажимаем update и создаем тригер на изменение значения:
![kukutmc1rziafsbdemb7ogalj_g.png](https://habrastorage.org/webt/ku/ku/tm/kukutmc1rziafsbdemb7ogalj_g.png)
Оставляем все, как на картинке.
Далее можно настроить уведомления в slack или другой мессенджер.
Источник статьи: https://habr.com/ru/post/459554/