Мне нужно настроить аудит в моей среде, в частности, мониторинг целостности файлов. Я пробовал OSSEC , но нашел его громоздким. С тех пор я обнаружил auditd
(уже установлен в моей системе CentOS 6) и обнаружил, что это простое, но мощное решение для аудита.
Мне известен инструмент командной строки aureport
для генерации статистики или списков изменений файлов, записанных с помощью auditd
, и он отлично работает. Однако в настоящее время у меня около 100 хостов Linux, и мне нужно найти более плавный способ получать уведомления об изменениях в критических файлах. Существуют ли какие-либо инструменты отчетности с открытым исходным кодом или информационные панели, которые устанавливаются поверх auditd
для агрегирования нескольких хостов в сети? Я ничего не видел при поиске в сети и github .
В качестве бонуса было бы удобно объединить изменения файла, о которых сообщает auditd, с отчетами об изменениях файлов из отчетов puppetmaster / puppetDB, чтобы показать, что изменение ожидалось, и чтобы не было показано в отчете.
Есть ли какие-либо рекомендации по существующим решениям или советы по этой теме мониторинга целостности файлов?
В последних версиях auditd есть диспетчер, который поддерживает отправку событий в системный журнал, поэтому вы можете выполнять обработку через централизованную систему ведения журнала (при условии, что она у вас есть).
Изменить: puppet поддерживает syslog как log dest, чтобы вы также могли сделать корреляцию там.