EventLog Analyzer ナレッジベース

Linuxに対するファイル監視(FIM)の設定方法


本ナレッジでは、Linuxファイル監視機能について説明します。
※本機能は別名「Linux FIM(File Integrity Monitoring)」と呼ばれます。

Linuxに対するファイル監視機能は、ビルド12010以降でご利用いただけます。
また、本ナレッジは、ビルド12330を基に作成しています。

 

概要

EventLog Analyzerのファイル監視(FIM)機能を使用することで、管理対象デバイス上のファイル/フォルダーの作成・修正・削除などの変更が監査可能となります。

レポート例

ファイル監査レポートは、[レポート]タブ → [ファイル監視] → [Linuxファイル監視]をクリックすることで閲覧できます。

Windowsに対するファイル監視の設定方法は、こちらのナレッジをご参照ください。

前提条件

Linuxファイル監視機能を使用するための前提条件は、以下のとおりです。
※以下より、EventLog Analyzerを「ELA」と表記いたします。

  • 対象のLinuxにSSHサーバーがインストールされていること
  • 対象のLinuxで監査デーモン(auditd)が設定および稼働していること
  • 対象のLinuxでSELinuxがpermissiveモードもしくは無効化されていること
  • 対象のLinuxにELAエージェントのインストールが可能であること
  • Linuxファイルサーバー監査オプションライセンス」を有すること
    ※オプションライセンスの詳細は、こちらのページをご確認ください。

機能の仕様

Linuxファイル監視機能の仕組みは、以下のとおりです。

  1. ELAエージェントを対象Linuxにインストール
    ※監査デーモン(auditd)のプラグインとなります。
  2. Linux内のELAエージェントよって監査ログを収集
  3. 収集したログをELAサーバーに送信
  4. 送信されたログをELAにて解析し、レポート表示

設定手順

  1. [設定]タブ → [ログソースの構成] → [ファイル監視]へ移動します。
  2. [Linux]タブへ移動し、[+FIMを追加]をクリックします。
  3. [デバイスを選択してください]の右端の[+]アイコンをクリックし、対象のLinuxホストを選択します。
  4. ELAが対象のLinuxホストに接続する際に使用する資格情報を入力し、SSHのポート番号を指定します。
    ※[資格情報を確認する]をクリックし、資格情報が正しいことをご確認ください。
  5. [場所を参照]をクリックし、監視対象のディレクトリを指定します。
    [フィルターを除外] のオプションでは、以下の項目を指定できます。

    • ファイルの種類
    • 特定のサブフォルダー
    • 全てのサブフォルダー
    Linuxに対するファイル監視(FIM)の場合、ユーザー名の監査はデフォルトで有効化されます。
  6. 指定後のディレクトリ一覧を設定画面にて確認後、[設定する]をクリックします。
    ※[設定する]をクリック後、対象LinuxホストへのELAエージェントのインストールが開始します。
  7. 以下の画面のステータスが[ログを取得中]に設定されていることをご確認ください。

以上です。