inotify2 728x90 파일 무결성 모니터링(FIM)을 Osquery 통해 완벽한 이벤트 탐지 활용 1. File Integrity Monitoring (FIM) 개요File Integrity Monitoring (FIM)은 중요한 파일 및 디렉터리의 변경을 감지하는 보안 메커니즘으로, 시스템 침입 탐지, 무단 수정 감지, 규제 준수 목적 등에 활용됩니다. osquery는 다양한 운영 체제에서 FIM을 지원하며, 각각의 플랫폼에서 다음과 같은 이벤트 수집 방식을 사용합니다.Linuxfile_events (inotify 사용)process_file_events (Audit 사용)Windowsntfs_journal_events (NTFS Journaling 사용)macOSfile_events (FSEvents 사용)2. osquery에서 FIM 활성화기본적으로 FIM 기능은 비활성화되어 있으며, 다음 설정.. 2025. 2. 11. Too many open files 사전 예방 및 오류 모니터링 원인 분석 "Failed to allocate directory watch: Too many open files" 오류는 리눅스 시스템에서 파일 또는 디렉토리를 감시하는 데 사용되는 "watch" 핸들의 최대 허용 수를 초과했을 때 발생합니다. 이러한 감시 핸들은 주로 파일 시스템의 변경을 실시간으로 감지하는 데 사용됩니다. 예를 들어, 애플리케이션이나 시스템 서비스가 디렉토리 내 파일의 변경사항을 모니터링할 때 이러한 핸들을 사용할 수 있습니다.문제 발생 원인리소스 제한: 각 사용자 또는 프로세스에 대해 열 수 있는 파일이나 디렉토리 감시자의 수에 대한 시스템 리소스 제한이 있습니다. 이 제한값이 너무 낮게 설정되어 있으면, 정상적인 운영 중에 이 제한에 도달하여 오류가 발생할 수 있습니다.프로세스 유출: 일부 .. 2024. 5. 11. 이전 1 다음 728x90 728x90
