我需要在我的环境中设置审计,特别是文件完整性监视。 我试过OSSEC ,但发现它很麻烦。 自从我发现了auditd (已经安装在我的CentOS 6系统上),发现它是一个简单但强大的审计解决scheme。
我知道命令行工具aureport用于生成统计信息或由auditdlogging的文件更改列表,它很好地工作。 不过,目前我已经有大约100台Linux主机,并且需要find一个更stream畅的方式来提醒重要文件的更改。 是否有任何开源报告工具或仪表板位于auditd之上,用于聚合networking中的多个主机? 在searchnetworking和github时我没有看到任何东西。
作为奖励,将auditd报告的文件更改与来自puppetmaster / puppetDB主机的木偶报告中的文件更改报告相结合以显示预期的更改并且不会触发警报或显示在报告。
现有解决scheme的任何build议或关于此文件完整性监测主题的提示?
最近版本的auditd有一个调度程序,它支持将事件发送到syslog,所以你可以通过你的集中式日志系统(假设你有一个)来执行处理。
编辑:puppet支持syslog作为日志目标,所以你也可以在那里做关联。