实时系统完整性监控

系统完整性监控通过实时拦截文件操作来检测监控范围内对象的每次更改。

系统完整性监控运行时，应用程序将监控以下文件设置的更改情况：

• 内容（write, truncate 等）
• 元数据（拥有权 (chmod/chown)）
• 时间戳 (utimensat)
• 扩展属性（(setxattr) 等）

不计算文件校验和。

由于 Linux 操作系统的技术限制，应用程序无法识别对文件进行更改的用户或进程。

默认情况下禁用系统完整性监控。您可以启用、禁用和配置系统完整性监控：

• 定义系统完整性监控的监控范围。应用程序监控系统完整性监控设置中定义的监控范围内的文件操作。您必须指定至少一个监控范围才能使组件正常工作。默认情况下定义卡巴斯基内部对象 (/opt/kaspersky/kesl/) 监控范围。

  您可以指定多个监控范围。您可以实时更改监控范围。

  应用程序任务不监控未位于监控范围内的具有硬链接的文件（属性和内容）的更改。

• 您可以按名称掩码配置从监控中排除的对象。
• 设置系统完整性监控的排除范围。为每个监控范围定义排除项，并且仅对指定的范围有效。您可以指定多个监控排除。

  排除项的优先级高于监控范围；即使排除的对象在监控范围内，也会跳过该对象。如果监控范围定义的级别低于排除目录，则应用程序在系统完整性监控期间将跳过该监控范围。

当目录被添加到监控范围或排除范围时，应用程序不会检查该目录是否存在。