查询FIM事件日志

在你打开文件完整性监控(FIM)在InsightIDR和配置您的Windows机器对于文件审计,您的资产将向InsightIDR发送日志数据。这些文件事件可以在文件修改活动它允许您充分利用文件完整性监控(FIM)特性。

例如,FIM可以帮助你:

  • 追踪哪个资产发送了过多的数据。
  • 发现哪个进程占用了太多的CPU。
  • 找出哪个用户帐户编辑了文件。
  • 快速回应问题自定义警报

根据您的需要,使用以下查询之一创建日志搜索查询,以帮助您监控您的环境:

读到建立一个查询或查看其他示例查询帮助您创建自定义查询。

每个资产的FIM事件

这个日志搜索查询显示了发生在Windows资产上的所有FIM事件,结果按资产分组。这个查询的方法是:(asset_os_family = windows) groupby(资产)

FIM事件通过文件名

这个日志搜索查询显示了Windows资产上发生的所有FIM事件,结果按文件名分组。这个查询的方法是:(asset_os_family = windows) groupby (file_name)限制(100)

FIM事件按事件类型分类

这个日志搜索查询显示了Windows资产上发生的所有FIM事件,结果按文件事件类型分组。这个查询的方法是:(asset_os_family = windows) groupby (file_event)

FIM事件从单一文件由用户

这个日志搜索查询显示只修改了一个文件的用户。这个查询的方法是:where(asset_os_family=windows AND file_name=< name>)

单文件一天的FIM事件

此日志搜索查询显示单个文件的每日事件量。这个查询的方法是:where(asset_os_family=windows AND file_name=)

通过主机名访问资产的进程

这个日志搜索查询显示了在一个Windows资产上发生的所有进程。这个查询的方法是:where(asset_os_family=windows AND asset=)

FIM和FAAM的区别

配置文件完整性监控(FIM)与配置不同文件访问活动监控(FAAM)。虽然FAAM使用本地Microsoft审计工具有一个类似的配置过程,但这是它们唯一的相似之处。

文件完整性监控(FIM)

文件访问活动监控(FAAM)

个人文件/文件夹审计

是的

没有

微软本地审计

是的

是的

标识符收集

事件ID 4663

事件ID 5145

事件监控

只能修改、创建和删除事件。

所有访问事件

记录集名称

文件修改活动

文件访问活动