OSファイル読取りのモニタリング

オペレーティング・システム・ファイル・レベルのモニタリングでは多くのタイプのファイル変更をモニタリングできますが、ファイル読取りのモニタリングも可能です。ファイル・パターンが頻繁に読み取られるファセットをモニターするルールを使用すると、非常に多数の監視が生成されることがあります。監視の数を減らすには、ファイルを読み取ることのない時間またはユーザーに対するフィルタがルールに適用されていることを確認します。

たとえば、すべてのユーザーによる/etc/passwdファイルの読取りをモニタリングすると、多数の監視が作成されます。しかし、特定のユーザーに関する/etc/passwdファイルのみをモニターすれば、ルール作成時にその特定のユーザーに対するユーザー・フィルタを作成できます。これにより、その特定のユーザーがファイルの読取りを試行したときにのみ監視が送信されるようになります。