1、文件防篡改监控

主要通过文件的MD5字符串（大小写均可）来监测文件是否被篡改过，并进行告警通知，Linux查看文件md5字符串如下

[root@VM-0-14-centos server]# md5sum wgcloud-server-release.jar
9991a48745dccabd6b922390b3286700  wgcloud-server-release.jar

监控文件夹防篡改，不用填写这个MD5值，不用填写

如果监控文件被删除，也会发送告警通知

2、文件类型（选择文件或文件夹）

可以监控文件，也可以监控文件夹。（提示：监控文件夹需要升级到专业版 ）

3、文件名称

就是我们自定义文件的别名，可以随便填写，方便我们识别

4、防篡改监控，系统默认10分钟扫描一次

暂时不支持自定义时间

5、文件绝对路径

就是文件在监控主机的完整路径，如：/home/wgcloud/server/wgcloud-server-release.jar或者/home/wgcloud/server/config

6、文件的MD5字符串，大小写均可

Linux可以用命令[md5sum 文件名称]获取。如果是监控文件夹，则不用填写此处。如果是Windows系统，可以使用压缩软件获取文件的MD5值

7、文件夹防篡改监控说明

提示：此功能需要升级到v3.4.8或以上版本，同时 需要升级到专业版

系统会监控文件夹下的所有文件或者子文件夹是否被修改，如果该监控文件夹被删除，或者该监控文件夹下的文件或者子文件夹被删除

又或者该文件夹下新增加了文件或者文件夹，都会被认定为篡改过

如果监控文件夹下的子文件夹被删除、被篡改，也会发送告警通知，但是系统不会监控子文件夹下的文件是否被篡改，也就是系统只监控一级目录下的

文件和子文件夹

如果你想监控子文件夹下的内容，也可以，那就再添加一条文件夹监控数据

如果我们自己修改了该文件夹，为了避免频繁发送的告警通知，只需要在列表点击【重新监控】，就会重新开始监控该文件夹

或者重启agent程序效果也一样的，重启agent也会重新开始监控该文件夹

比如我们监控文件夹wgcloud-v3.5.6，如下示例说明

wgcloud-v3.5.6 会被监控，如果被删除，认为被篡改，会发送告警通知
    │  
    │─子文件夹 会被监控，如果被删除或修改名称，系统认为被篡改，会发送告警通知
    │  │  文件1 不会监控此文件
    │  └─ 文件2 不会监控此文件
    │
    ├─文件1 会被监控，如果被删除和修改，或修改名称，系统认为被篡改，会发送告警通知
    ├─文件2 会被监控，如果被删除和修改，或修改名称，系统认为被篡改，会发送告警通知
    ├─文件3 会被监控，如果被删除和修改，或修改名称，系统认为被篡改，会发送告警通知
    ├─此目录中，如果新加了或者删除了文件或者文件夹，系统认为被篡改，会发送告警通知 
    ├─... 
            

8、支持发现文件或者文件夹被篡改后，自动恢复，如下例子

提示：此功能需要 升级到专业版

从v3.5.4版本开始，支持设置自动恢复指令，当系统发现文件或者文件夹被篡改后，会在几分钟之内执行用户设置的恢复指令或者脚本进行自动处理

指令脚本可以是shell、dos、bat、powershell、python等命令

如果保存处理指令出现空白页面，那么可能是网络内部有其他的安全软件规则限制，请放行就好了

如下shell脚本oaFileSafe.sh，这只是一个示例，它主要用于恢复一个配置文件，我们可以参考使用

然后，将这个serverFileSafe.sh脚本文件上传到自己的被监控主机（即agent主机）上

我们可以根据自己的实际场景来采取具体的处理措施，这个自动恢复脚本处理思路是，先删除被篡改过的文件，再从其他地方下载原始文件，处理完成

最后一步，在防篡改的编辑或者添加页面设置这个脚本，如下图

9、文件防篡改保护机制视频讲解