即時系統完整性監控

系統完整性監控透過即時攔截檔案操作來偵測監控範圍內物件的每個變化。

當系統完整性監控執行時，應用程式會監控以下檔案設定中的變化：

• 內容（寫入（）、截斷（）等）
• 中繼資料（所有權（chmod/chown））
• 時間戳 (utimensat)
• 延伸屬性（（setxattr）及其他）

不計算檔案總和檢查碼。

Linux 作業系統的技術限制使得應用程式無法識別對檔案進行了變更的使用者或處理程序。

預設情況下，系統完整性監控停用。您可以啟用、停用和設定係統完整性監控：

• 定義系統完整性監控的監控範圍 應用程式可監控系統完整性監控設定中定義的監控範圍內的檔案作業。您必須指定至少一個監控範圍才能使元件正常運作。卡巴斯基內部物件（/opt/kaspersky/kesl/）監控範圍是預設定義的。

  您可以指定多個監控範圍。您可以在即時模式中變更監控範圍。

  應用程式工作不會監控監控範圍之外的具有硬連結的檔案（屬性和內容）的變化。

• 您可以藉助名稱遮罩配置從監控中排除的物件。
• 設定係統完整性監控的排除範圍。排除項目針對每個單獨的監控範圍定義，並且僅適用於指示的範圍。您可以指定多個監控排除項目。

  排除項目的優先順序高於監控範圍；即使在監控範圍內，也會跳過排除的物件。如果監控範圍定義的等級低於排除目錄，則應用程式在系統完整性監控期間將跳過該監控範圍。

當目錄被新增至監控或排除範圍時，應用程式不會檢查該目錄是否存在。

本章節說明項目 在網頁主控台中設定係統完整性監控 在管理主控台中設定係統完整性監控 在指令列中設定係統完整性監控

頁頂