Kaspersky Endpoint Security for Linux

按需文件完整性监控（ODFIM）

在 ODFIM 任务运行时，每个对象的更改通过比较受监控对象的当前状态与原始状态来确定，该原始状态先前已被确定为基线。

基线在设备上首次运行 ODFIM 任务时创建。您可以创建多个 ODFIM 任务。对于每个 ODFIM 任务，都会创建一个单独的基线。仅当基线对应于监控范围时才执行任务。如果基线与监控范围不匹配，则 Kaspersky Endpoint Security 会创建系统完整性违规事件。基线包含受监控对象及其元数据的路径。基线也可能包含个人数据。

基线将在 ODFIM 任务完成后重新构建。您可以使用 RebuildBaseline 设置重建任务基线。此外，当任务的设置更改时将重建基线，例如，如果添加了新的监控范围。基线将在下一次任务运行时重新构建。仅可通过删除相应的 ODFIM 任务来删除基线。

ODFIM 任务将在已安装系统完整性监控组件的设备上创建基线存储。默认情况下，基线的存储位于 /var/opt/kaspersky/kesl/private/fim.db。需要 root 特权才能访问包含基线的数据库。