配置 Linux 文件系统监控
编辑配置 Linux 文件系统监控编辑
默认情况下,Elastic Defend 监控 Elastic 已测试过兼容性的特定 Linux 文件系统类型。如果您的网络包含非标准、专有或其他无法识别的 Linux 文件系统,您可以配置集成策略以将监控和保护扩展到这些额外的文件系统。您还可以让 Elastic Defend 忽略无法识别的文件系统类型,如果它们不需要监控或会导致意外问题。
忽略文件系统可能会导致安全覆盖范围出现漏洞。对 Elastic Defend 忽略的任何文件系统使用额外的安全层。
要监控或忽略其他文件系统,请配置与 fanotify 相关的以下高级设置,fanotify 是一个监控文件系统事件的 Linux 功能。转到 管理 → 策略,单击策略名称,然后向下滚动并选择 显示高级设置。
即使配置为监控所有文件系统(ignore_unknown_filesystems 为 false),Elastic Defend 仍会忽略 Elastic 在内部识别为不兼容的特定文件系统。以下设置适用于任何其他文件系统。
-
linux.advanced.fanotify.ignore_unknown_filesystems -
确定是否忽略无法识别的文件系统。输入以下选项之一
-
true: (默认)仅监控 Elastic 测试过的文件系统,忽略所有其他文件系统。您仍然可以使用monitored_filesystems和ignored_filesystems分别监控或忽略特定文件系统。 -
false: 监控所有文件系统。您仍然可以使用ignored_filesystems忽略特定文件系统。
如果您从 8.3 或更早版本升级,此值将为
false,以确保向后兼容。如果您不需要监控其他文件系统,建议在升级后将ignore_unknown_filesystems更改为true。 -
-
linux.advanced.fanotify.monitored_filesystems -
指定要监控的额外文件系统。输入以逗号分隔的 文件系统名称 列表,这些名称在
/proc/filesystems中出现(例如:jfs,ufs,ramfs)。建议避免监控网络支持的文件系统。
如果
ignore_unknown_filesystems为false,则不会识别此设置,因为这意味着您已经监控所有文件系统。此设置中的条目会被
ignored_filesystems中的条目覆盖。
-
linux.advanced.fanotify.ignored_filesystems -
指定要忽略的额外文件系统。输入以逗号分隔的 文件系统名称 列表,这些名称在
/proc/filesystems中出现(例如:ext4,tmpfs)。此设置中的条目会覆盖
monitored_filesystems中的条目。
查找文件系统名称编辑
本节介绍了几种确定 linux.advanced.fanotify.monitored_filesystems 和 linux.advanced.fanotify.ignored_filesystems 所需的文件系统名称的方法。
在典型的设置中,当您安装 Elastic Agent 时,Filebeat 会与 Elastic Endpoint 一起安装,并将自动将 Elastic Endpoint 日志发送到 Elasticsearch。当事件发生时,Elastic Endpoint 会生成一条关于已扫描文件的日志消息。
要查找系统文件名
- 从主机页面(探索 → 主机)中,搜索
message: "Current sync path"以显示文件路径。 -
如果您有权访问端点,请运行
findmnt -o FSTYPE -T <file path>以返回文件系统。例如> findmnt -o FSTYPE -T /etc/passwd FSTYPE ext4
这将返回
ext4作为文件系统名称。
或者,您还可以通过将来自两个其他日志消息的数据关联起来,来查找文件系统名称
-
在日志中搜索
message: "Current fdinfo"以显示文件路径的mnt_id值。在此示例中,mnt_id值为29pos: 12288 flags: 02500002 mnt_id: 29 ino: 2367737
-
在日志中搜索
message: "Current mountinfo"以显示与您在上一步中找到的mnt_id值相对应的文件系统<snip> 29 1 8:2 / / rw,relatime shared:1 - ext4 /dev/sda2 rw,errors=remount-ro <snip>
第一个数字
29是mnt_id,连字符 (-) 后的第一个字段是文件系统名称ext4。