¿existe una forma de bajo costo para registrar cada nuevo archivo creado en un host Linux?

Inotify supervisa directorios individualmente. Para monitorear un árbol de directorios, necesita monitorear cada subdirectorio , y adjuntarlos a nuevos subdirectorios cuando se agreguen. Estoy seguro de que es posible hacer esto sin una condición de carrera.

Si desea registrar los archivos que se crean en un directorio, hay mejores maneras. Puede colocar los archivos para ver en el sistema de archivos logsfs , que implementa el inicio de sesión en el país de usuarios. Alternativamente, puede utilizar la función de auditoría audit del kernel. Consulte enlace para obtener más información técnica.

No tengo experiencia práctica con ninguno de los dos métodos en producción, pero dudo que el consumo de RAM sea significativo de cualquier manera. Hay una sobrecarga mayor con el método logfs que puede ser importante para los archivos que se leen con mucha frecuencia pero que se modifican solo ocasionalmente, porque pagará la sobrecarga para todos los accesos, no solo las escrituras. Además, el método logfs hace una vista de la sombra de los archivos, y si está preocupado por el malware, puede pasar por alto la vista de la sombra y acceder directamente a la vista original, sin supervisión. Así que para su caso, la auditoría de casos es más apropiada.

La regla es algo así como (no probado)

auditctl -a exit,always -F path=/var/www -p w

Esto le proporciona un registro en tiempo real, que puede o no ser útil. Sospecho que la información detallada sería útil para los análisis forenses, pero no tanto para las alertas, porque tendría demasiados detalles para analizar, pero eso realmente depende de los patrones de los cambios. Hay programas que listan archivos a pedido y reportan cambios desde la última ejecución, por ejemplo, AIDE y Tripwire . Encajan en la clase general de sistemas de detección de intrusiones , y definitivamente existe un software más avanzado, pero esto no es un tema con el que estoy familiarizado.