一、工作原理
1、Wazuh代理扫描系统,并将被监视文件的校验和和属性以及Windows注册表项发送给Wazuh管理器。以下选项是可配置的:
(1)频率:默认情况下,syscheck每12小时运行一次。
(2)实时监控:Wazuh支持在运行Windows或Linux的服务器上进行实时文件完整性监控(Solaris不支持Inotify,因此该系统不可用)。请注意,实时选项只能用于目录,而不能用于单个文件。
(3)Whodata:这个特性工作起来像实时的,另外还提供了关于谁触发了事件的信息。
2、Wazuh管理器存储被监视文件的校验和和属性,并通过比较新值和旧值来查找修改。
Wazuh管理器存储被监视文件的校验和和属性,并查找每当在监控的文件和/或注册表项中检测到修改时,都会生成警报。
可以使用ignore configuration选项或通过创建列出FIM警报中排除的文件的规则来解决误报问题。
警报示例,由FIM生成:
如果您的计算机上有太多要被监视的文件夹,可能会影响计算机性能和响应速度。以下是一些可能有帮助的方法:1. 取消对不必要的文件夹的监视:如果您发现某些文件夹不再需要被监视,可以取消对它们的监视以减轻系统负担。
2. 优化监视程序:一些文件夹监视程序可能会占用过多的系统资源。您可以尝试升级程序或更换更高效的程序。
3. 优化计算机性能:如果您的计算机性能不足,可能需要考虑进行一些优化措施,例如添加更多内存、清理磁盘空间或升级处理器等。
4. 调整监视频率:您可以尝试减少监视程序的扫描频率,以减轻系统负担。但请注意,这可能会降低监视的实时性和准确性。
请注意,以上建议仅供参考。对于特定情况下的问题,需要根据具体情况进行分析和解决。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)