Eu preciso configurar a auditoria no meu ambiente, especificamente o monitoramento de integridade de arquivos. Eu tentei OSSEC , mas achei que era complicado. Eu já descobri o auditd (já instalado no meu sistema CentOS 6) e achei que fosse uma solução de auditoria simples, mas poderosa.
Estou ciente da ferramenta de linha de comando aureport para gerar estatísticas ou listas de alterações de arquivos gravadas por auditd e funciona muito bem. No entanto, eu tenho atualmente cerca de 100 hosts Linux e preciso encontrar uma maneira mais suave de ser alertado sobre alterações em arquivos críticos. Há alguma ferramenta ou painel de relatórios de código aberto disponível por aí que fique em cima de auditd para agregar vários hosts em uma rede? Eu não vi nada ao pesquisar na net e no github .
Como um bônus, seria conveniente que as alterações de arquivo relatadas pelo auditd sejam combinadas com relatórios de alteração de arquivo dos relatórios de fantoches do host puppetmaster / puppetDB para mostrar que uma mudança era esperada e não disparar um alerta ou ser mostrado no relatório.
Alguma recomendação sobre soluções existentes ou dicas sobre este tópico de monitoramento de integridade de arquivos?
As versões recentes do auditd têm um dispatcher que suporta o envio de eventos para o syslog, para que você possa realizar o processamento através do seu sistema de registro centralizado (supondo que você tenha um).
Edit: fantoche suporta syslog como um log de destino para que você possa fazer correlação lá também.