我正在管理一个相对简单的 AWS 堆栈,其中包含大约 5 个异构 Linux EC2 实例。所有实例都已设置为将重要日志发送到 Cloudwatch Logs。现在我想为这个系统设置一个覆盖所有节点的基本 HIDS。替代方案一是专用的 HIDS/SEIM,如 OSSEC、Prelude 等。替代方案二是安装 auditd,将 auditd 日志像其他日志一样发送到 AWS,并在日志到达 Cloudwatch 后根据日志解析执行某种 IDS。这需要更少的额外移动部件,并且设置工作/时间要少得多。问题是 auditd 日志的解析和解释相当具有挑战性。所以我的问题是,是否有任何开箱即用的 AWS 服务或众所周知的脚本可以解析这些日志并生成 IDS 样式的实时警报?