我已阅读如何监控AWS EC2文件系统更改使用 Linux 审计系统,这一切都有意义。我还浏览了 RHEL 审核系统文档。我不想经常检查审计报告来查看一组特定的“重要”文件是否已被修改或删除。
当某些审计事件发生时,是否有办法以某种方式收到警报?至少,执行一个我可以定义的脚本? (然后我可以在脚本中做任何我想做的事情...发送电子邮件、发送到 CloudWatch、发送到 SNS 等)
我正在使用 Amazon Linux 2 EC2 实例。
答案1
该审计系统可能有点过大了。
一个简单的 C、C++、go、rust、.. 程序,使用扇通知拦截文件系统事件的函数可能会更实用一些,并且可以很好地与任意警报机制集成。例如,pyfanotify Python 库,它封装了通常可以使用通知库的典型语言的 fanotify。
答案2
我想你想要助手
先进的入侵检测系统
有一个/etc/aide.conf您可以定制的文件,该文件已内置电子邮件功能,可以通知文件删除、修改等事件。
许多关于如何配置和使用助手的互联网文章。
aide 是一个完全支持的 Linux 程序...我认为它包含在 RHEL 安装中,而不是必须从 EPEL 获取它,所以我认为您在 Amazon 设置中获取它应该没有什么问题。