Debe monitorear (casi) todo los archivos.
Suponiendo que este sistema es solo una base de datos hash, hay algunos archivos que debe omitir:
- todo en /proc (sin embargo, hay muchas cosas útiles aquí para los cazadores de rootkits)
- archivos de registro (hay herramientas que harán un análisis heurístico de estos archivos)
- archivos que contienen sistemas de archivos (esto incluiría sistemas de archivos de bucle invertido y archivos de bases de datos, pero probablemente desee verificar los 'archivos' dentro del archivo).
- intercambiar espacio
(lo difícil es configurar un proceso para auditar los cambios correctamente)
No estoy seguro de qué sistema de monitoreo de integridad de archivos está utilizando, pero la mayoría de los sistemas comerciales de monitoreo de integridad de archivos, como Verisys y Tripwire, se pueden configurar para monitorear 'automáticamente' los archivos relevantes.
Por ejemplo, les dice que está ejecutando Windows Server 2008 y Microsoft SQL Server 2008, y luego supervisan los archivos y las entradas de registro correspondientes.