配置 Linux 文件系统监控

Elastic Stack 无服务器安全

默认情况下，Elastic Defend 监控 Elastic 已经过兼容性测试的特定 Linux 文件系统类型。如果您的网络包含非标准、专有或以其他方式无法识别的 Linux 文件系统，您可以配置集成策略以将监控和保护扩展到这些其他文件系统。如果不需要监控无法识别的文件系统类型或者这些类型会导致意外问题，您还可以让 Elastic Defend 忽略这些文件系统类型。

要监控或忽略其他文件系统，请配置与 fanotify 相关的以下高级设置，fanotify 是一种用于监控文件系统事件的 Linux 功能。在导航菜单中查找策略，或者使用全局搜索字段，单击策略的名称，然后向下滚动并选择显示高级设置。

linux.advanced.fanotify.ignore_unknown_filesystems

确定是否忽略无法识别的文件系统。输入以下内容之一：

• true：（默认）仅监控经过 Elastic 测试的文件系统，并忽略所有其他文件系统。您仍然可以使用 monitored_filesystems 和 ignored_filesystems 分别监控或忽略特定文件系统。
• false：监控所有文件系统。您仍然可以使用 ignored_filesystems 忽略特定文件系统。

注意

在 Elastic Stack 中，如果您是从 8.3 或更早版本升级的，为了向后兼容，此值将为 false。如果您不需要监控其他文件系统，建议在升级后将 ignore_unknown_filesystems 更改为 true。

linux.advanced.fanotify.monitored_filesystems

指定要监控的其他文件系统。输入以逗号分隔的文件系统名称列表，这些名称如 /proc/filesystems 中所示（例如：jfs,ufs,ramfs）。

注意

建议避免监控网络支持的文件系统。

如果 ignore_unknown_filesystems 为 false，则无法识别此设置，因为这意味着您已经在监控所有文件系统。

此设置中的条目会被 ignored_filesystems 中的条目覆盖。

linux.advanced.fanotify.ignored_filesystems

指定要忽略的其他文件系统。输入以逗号分隔的文件系统名称列表，这些名称如 /proc/filesystems 中所示（例如：ext4,tmpfs）。

此设置中的条目会覆盖 monitored_filesystems 中的条目。

本节提供几种确定 linux.advanced.fanotify.monitored_filesystems 和 linux.advanced.fanotify.ignored_filesystems 所需的文件系统名称的方法。

在一个典型的设置中，当您安装 Elastic Agent 时，Filebeat 会与 Elastic Endpoint 一起安装，并将自动将 Elastic Endpoint 日志传送到 Elasticsearch。当事件发生时，Elastic Endpoint 将生成一条关于扫描文件的日志消息。

查找系统文件名

1. 在导航菜单中查找主机，或者使用全局搜索字段搜索 Security/Explore/Hosts。

2. 在“主机”页面中，搜索 message: "Current sync path" 以显示文件路径。

3. 如果您有权访问该端点，请运行 findmnt -o FSTYPE -T <文件路径> 以返回文件系统。例如

   > findmnt -o FSTYPE -T /etc/passwd
   FSTYPE
   ext4
   

   这将返回文件系统名称为 ext4。

或者，您还可以通过关联来自另外两条日志消息的数据来查找文件系统名称。

1. 搜索日志 message: "Current fdinfo" 以显示文件路径的 mnt_id 值。在本例中，mnt_id 值为 29

   pos:	12288
   flags:	02500002
   mnt_id:	29
   ino:	2367737
   

2. 搜索日志 message: "Current mountinfo" 以显示与您在上一步中找到的 mnt_id 值对应的文件系统

   <snip>
   29 1 8:2 / / rw,relatime shared:1 - ext4 /dev/sda2 rw,errors=remount-ro
   <snip>
   

   第一个数字 29 是 mnt_id，而连字符（-）之后的第一个字段是文件系统名称，ext4。