Linuxに対するファイル監視(FIM)の設定方法
作成日:2019年2月21日 | 更新日:2023年12月12日
本ナレッジでは、Linuxファイル監視機能について説明します。
※本機能は別名「Linux FIM(File Integrity Monitoring)」と呼ばれます。
Linuxに対するファイル監視機能は、ビルド12010以降でご利用いただけます。
また、本ナレッジは、ビルド12330を基に作成しています。
また、本ナレッジは、ビルド12330を基に作成しています。
概要
EventLog Analyzerのファイル監視(FIM)機能を使用することで、管理対象デバイス上のファイル/フォルダーの作成・修正・削除などの変更が監査可能となります。
レポート例
ファイル監査レポートは、[レポート]タブ → [ファイル監視] → [Linuxファイル監視]をクリックすることで閲覧できます。
Windowsに対するファイル監視の設定方法は、こちらのナレッジをご参照ください。
前提条件
Linuxファイル監視機能を使用するための前提条件は、以下のとおりです。
※以下より、EventLog Analyzerを「ELA」と表記いたします。
- 対象のLinuxにSSHサーバーがインストールされていること
- 対象のLinuxで監査デーモン(auditd)が設定および稼働していること
- 対象のLinuxでSELinuxがpermissiveモードもしくは無効化されていること
- 対象のLinuxにELAエージェントのインストールが可能であること
- 「Linuxファイルサーバー監査オプションライセンス」を有すること
※オプションライセンスの詳細は、こちらのページをご確認ください。
機能の仕様
Linuxファイル監視機能の仕組みは、以下のとおりです。
- ELAエージェントを対象Linuxにインストール
※監査デーモン(auditd)のプラグインとなります。 - Linux内のELAエージェントよって監査ログを収集
- 収集したログをELAサーバーに送信
- 送信されたログをELAにて解析し、レポート表示
設定手順
- [設定]タブ → [ログソースの構成] → [ファイル監視]へ移動します。
- [Linux]タブへ移動し、[+FIMを追加]をクリックします。
- [デバイスを選択してください]の右端の[+]アイコンをクリックし、対象のLinuxホストを選択します。
- ELAが対象のLinuxホストに接続する際に使用する資格情報を入力し、SSHのポート番号を指定します。
※[資格情報を確認する]をクリックし、資格情報が正しいことをご確認ください。 - [場所を参照]をクリックし、監視対象のディレクトリを指定します。
[フィルターを除外] のオプションでは、以下の項目を指定できます。
- ファイルの種類
- 特定のサブフォルダー
- 全てのサブフォルダー
Linuxに対するファイル監視(FIM)の場合、ユーザー名の監査はデフォルトで有効化されます。 - 指定後のディレクトリ一覧を設定画面にて確認後、[設定する]をクリックします。
※[設定する]をクリック後、対象LinuxホストへのELAエージェントのインストールが開始します。
- 以下の画面のステータスが[ログを取得中]に設定されていることをご確認ください。
以上です。