5.1 功能描述
最后更新于
这有帮助吗?
最后更新于
这有帮助吗?
wazuh有文件完整性监控(FIM)的功能,主要监控文件的增删查改,一旦出现这些操作就会触发告警,执行这个操作的工具称为syscheck
。它的作用就是收集代理端上面的文件变化的行为和内容,它存储了已知文件的校验值(MD5、SHA1、SHA256)、文本内容和文本属性,将收集上来的日志数据与原始数据内容做对比,判断文件出现变化,就会触发告警规则,生成告警信息。
在管理端和代理端都可以对syscheck进行配置,一般来说,修改代理端配置文件只需用同步下发配置文件就可以。
管理端和代理端对于syscheck
配置都是一样的,下面是通用配置的模板。