Dovresti monitorare (quasi) tutto i file.
Supponendo che questo sistema sia solo un database hash, allora ci sono alcuni file che dovresti saltare:
- tutto in /proc (ci sono un sacco di cose utili qui per i cacciatori di rootkit però)
- file di registro (ci sono strumenti che eseguiranno l'analisi euristica di questi file)
- file che contengono filesystem (questo includerebbe filesystem di loopback e file di database, ma probabilmente vorrai controllare i 'file' all'interno del file).
- scambia spazio
(la parte difficile è impostare un processo per controllare correttamente le modifiche)
Non sei sicuro di quale sistema di monitoraggio dell'integrità dei file stai utilizzando, ma la maggior parte dei sistemi commerciali di monitoraggio dell'integrità dei file come Verisys e Tripwire possono essere configurati per monitorare "automaticamente" i file pertinenti.
Ad esempio, dici loro che stai utilizzando Windows Server 2008 e Microsoft SQL Server 2008, quindi controllano i file e le voci di registro applicabili.