EventLog Analyzer ナレッジベース

Linuxに対するファイル監視の設定方法


Linuxに対するファイル監視機能は、ビルド12010以降でご利用いただけます。また、本ナレッジベースはビルド12010を元に作成しています。

EventLog Analyzerでは、ビルド12010より新機能として「Linuxファイル監視」がオプション機能として追加されました。本ナレッジでは、機能の内容および設定方法についてご紹介します。 ※本機能は別名「Linux FIM(File Integrity Monitoring)」と呼ばれます

1. 前提条件

下記項目は、本機能を使用する際の前提条件となります。
※以下より、Eventlog AnalyzerをELAと表記いたします

・対象のLinuxにSSHサーバーがインストールされていること

・対象のLinuxで監査デーモン(auditd)が設定および稼働していること

・対象のLinuxでSELinuxがpermissiveモードもしくは無効化されていること

・対象のLinuxがELAにホストとして登録されていること

・対象のLinuxにELAエージェントのインストールが可能であること
 

2. 機能の仕様

本機能の仕組みは以下となります。

1. ELAエージェントを対象Linuxにインストール
※監査デーモン(auditd)のプラグインとなります
2. Linux内のELAエージェントよって監査ログを収集
3. 収集したログをELAサーバーに送信
4. 送信されたログをELAにて解析し、レポート表示
 

3. 設定手順

1. ELAにログイン後、[設定]タブ >> [ファイル監視の管理]の順に移動し、画面にて[linux]タブをクリックしてください。

2. 画面右上の緑アイコン[FIM]を追加をクリックしてください。

3. [デバイスを選択する]右横のボックスの+マークをクリックし、対象のLinuxホストを選択してください。

4. 選択後、ELAがホストに接続する際に使用される認証情報の入力画面が表示されますので、ご入力ください。
※入力後、[資格認証を確認する]をクリックし、認証情報が正しいことをご確認ください。

5. [場所を参照]をクリックし、監視対象のディレクトリーを指定してください。指定後、[選択]をクリックしてください。

6. 指定後のディレクトリー一覧が設定画面に表示されますので、それらを確認後、画面下の緑アイコン[設定する]をクリックしてください。
クリック後、対象LinuxホストへのELAエージェントのインストールが開始されます。

※設定の参考画像

7. 設定後、以下の画面に遷移します。状態が[ログを取得中]になっていることを確認してください。

 

ファイル監査レポートは[ホーム]タブ >> [ファイル監視]をクリックすることで閲覧できます。

 

以上です。

Windowsに対するファイル監視については、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=1180