夜莺能监控主机的安全吗?例如执行了什么可疑、危险命令(rm -rf)等等。
2 Answers
夜莺啥都可以监控,又啥都监控不了。夜莺是一个服务端组件,类似 Grafana,可以接入不同的数据源,比如 Prometheus、VictoriaMetrics、Thanos 等等,只要数据进到这些库里了,夜莺就可以对数据源的数据进行分析、告警、可视化,以及后续的事件处理、告警自愈。
理论上采集器支持日志监控就可以实现你说的命令记录监控,可以用categraf的mtail
本质上,你想的需求属于是安全审计,我认为用堡垒机来实现更方便,如开源jumpserver或其他
可以参考下这个回答 https://answer.flashcat.cloud/questions/10010000000001352/10020000000001357
categraf 提供了 exec 插件,可以编写一些检测可疑命令的脚本,然后通过 exec 插件,上报到夜莺
exec 插件使用,可以参考下这个文档 https://flashcat.cloud/docs/content/flashcat-monitor/categraf/plugin/exec/
