Sie sollten (fast) alle überwachen die Dateien.
Angenommen, dieses System ist nur eine Hash-Datenbank, dann gibt es einige Dateien, die Sie überspringen sollten:
- alles in /proc (es gibt hier aber eine Menge nützlicher Dinge für Rootkit-Jäger)
- Protokolldateien (es gibt Tools, die eine heuristische Analyse dieser Dateien durchführen)
- Dateien, die Dateisysteme enthalten (dies würde Loopback-Dateisysteme und Datenbankdateien einschließen - aber Sie möchten wahrscheinlich die 'Dateien' in der Datei überprüfen).
- Austauschbereich
(Der schwierige Teil besteht darin, einen Prozess zum ordnungsgemäßen Auditieren der Änderungen einzurichten)
Sie sind sich nicht sicher, welches Dateiintegritätsüberwachungssystem Sie verwenden, aber die meisten kommerziellen Dateiintegritätsüberwachungssysteme wie Verisys und Tripwire können so konfiguriert werden, dass sie die relevanten Dateien „automatisch“ überwachen.
Sie teilen ihnen beispielsweise mit, dass Sie Windows Server 2008 und Microsoft SQL Server 2008 ausführen, und sie überwachen dann die entsprechenden Dateien und Registrierungseinträge.