访问时文件完整性监控（OAFIM）

在运行 OAFIM 任务时，每个对象的更改都是通过实时模式下对文件操作的实时拦截来确定的。当对象发生更改时，Kaspersky Endpoint Security 会将事件发送到 Kaspersky Security Center 管理服务器。在任务运行期间未计算文件校验码。OAFIM 任务不监控未位于监控范围内的通过硬链接访问来修改的文件的更改。

Kaspersky Endpoint Security 监控特定文件或任务参数中指定范围内的文件操作。

监控范围

必须始终指定文件完整性监控任务的监控范围。管理员可以实时更改扫描和监控范围。如果未指定监控范围，则无法将任务设置保存在配置文件中。添加监控范围或排除范围时，应用程序不检查指定目录是否存在。

您可以指定多个监控范围。

监控排除范围

您可以为监控范围创建排除。为个别范围指定了排除项，并且仅对指定的监控范围有效。您可以指定多个排除范围。

排除具有比监控范围更高的优先级，并且即使特定目录或文件在监控范围内，任务也不会对其进行监控。如果其中一个规则的设置指定的监控范围比排除项中指定的目录级别低，则在运行任务时不考虑该监控范围。

要指定排除项，可以使用用于指定监控范围的相同命令行 Shell 掩码。

监控参数

在文件完整性监控任务运行期间，将监控对以下参数的更改：

• 内容（write, truncate 等）
• 元数据（拥有权 (chmod / chown)）
• 时间戳（utimensat）
• 扩展属性（(setxattr) 等）

Linux 操作系统的技术局限性阻止了文件完整性监控组件检测哪个管理员或进程对文件进行了更改。