Для отслеживание файла
Чтобы отслеживать изменения файла /home/kajikov/network_cheatsheet.txt с информацией о том, кто и когда его изменил, вам нужно настроить File Integrity Monitoring (FIM) в Wazuh.
На агенте Ubuntu 24:
- Настройте FIM:
- Откройте файл /var/ossec/etc/ossec.conf на агенте.
- Добавьте следующий блок, чтобы отслеживать файл:
<syscheck>
<directories check_all="yes" report_changes="yes" whodata="yes">/home/kajikov/network_cheatsheet.txt</directories></syscheck>
- check_all="yes": Отслеживает все изменения.
- report_changes="yes": Сообщает об изменениях.
- whodata="yes": Включает информацию о пользователе и процессе, изменившем файл.
- Если whodata="yes" не работает, убедитесь, что установлен и запущен auditd.
- Перезапустите агент: sudo systemctl restart wazuh-agent
На Wazuh Manager (при необходимости):
- Создайте пользовательское правило (если нужно):
- Если хотите настроить уровень серьезности или добавить специфические условия, создайте правило в /var/ossec/etc/rules/local_rules.xml. Пример:
<rule id="100001" level="7">
<if_sid>550</if_sid>
<match>/home/kajikov/network_cheatsheet.txt</match>
<description>Изменен файл network_cheatsheet.txt</description></rule>
- Перезапустите Wazuh Manager: sudo systemctl restart wazuh-manager
После этих шагов, любые изменения в файле /home/kajikov/network_cheatsheet.txt будут регистрироваться, и вы сможете видеть информацию об этом в Wazuh Dashboard.
