HIDS 的agent, 如何监控agent上的文件变动,比如是否被黑客上传了(jsp, jspx, php 等)webshell, 是否被黑客攻击改变了web目录下的jsp, jspx, php 等文件
- inotify 是什么? 是Linux 提供的一个API。可以用来做什么?
性能监控
您可能想确定应用程序打开最频繁的文件是哪个。如果发现一个小文件被频繁打开与关闭,您可能会考虑采用内存版,或者改变应用程序来采取其他方式共享该数据。
元信息
您可能想记录文件的附加信息,例如起始创建时间或者最后改变该文件的用户id。
安全
您可能会因为安全原因,需要对特定文件或目录的所有访问进行监控。
- 一些资料:
用 inotify 监控 Linux 文件系统事件
一个inotify tools(做inotify的其他事情)
http://downloads.sourceforge.net/inotify-tools/inotify-tools-3.13.tar.gz