1、文件防篡改监控，主要通过文件的MD5字符串（大小写均可）来监测文件是否被篡改过，并进行告警，linux查看文件md5字符串如下

[root@VM-0-14-centos server]# md5sum wgcloud-server-release.jar
9991a48745dccabd6b922390b3286700  wgcloud-server-release.jar

文件夹监控，不用填写MD5，这个值不用填写

2、文件类型（文件或文件夹），可以监控文件，也可以监控文件夹。（监控文件夹需要升级到专业版）

3、文件名称，就是我们自定义文件的别名，可以随便填写

4、防篡改监控，系统默认15分钟扫描一次，暂时不支持自定义时间

5、文件绝对路径，就是文件在监控主机的完整路径，如：/home/wgcloud/server/wgcloud-server-release.jar或者/home/wgcloud/server/config

6、文件的MD5字符串。大小写均可，Linux可以用命令[md5sum 文件名称]获取。如果是监控文件夹，则不用填写此处

7、文件夹防篡改监控说明（此功能需要升级到v3.4.8或以上版本，同时需要升级到专业版）

系统会监控文件夹下的每个文件是否被篡改，如果该文件夹或该文件夹下的文件被删除，或该文件夹下新加了文件，也都会被认定为篡改过

如果监控文件夹下的子文件夹被删除、被篡改，也会发送告警通知，但是系统不会监控子文件夹下的文件是否被篡改，也就是系统只监控一级目录下的文件和子文件夹

如果你想监控子文件夹下的内容，也可以，那就再添加一条文件夹监控数据

如果我们自己修改了该文件夹，为了避免频繁发送的告警通知，只需要在列表点击【重新监控】，就会重新开始监控该文件夹

或者重启agent效果也一样的，重启agent也会重新开始监控该文件夹

8、文件防篡改保护机制视频讲解

9、如何实现发现文件被篡改后，agent自动将被篡改的文件还原回到原始文件，如下例子

如下shell脚本oaFileSafe.sh，它主要用于保护OA业务系统的/oaWorkspace/config/application.yml文件，若发现文件的md5字符串不一致，说已经文件已被篡改，然后进行恢复处理

先进入到目录/oaWorkspace/config，删除被篡改的文件application.yml，然后下载原始文件application.yml到/oaWorkspace/config下

这里例子，使用的是server自带的下载能力，当然我们也可以使用自己的下载途径

然后，将这个serverFileSafe.sh放到自己的被监控主机（即agent主机）上

最后一步，需要借助我们的自定义监控项功能，添加一条执行指令，定期执行达到扫描监控目的