[TOC]
简介
为了对服务器进行审计,进行安装auditbeat。本来审计功能一般是通过堡垒机来进行的,但总有方式绕过堡垒机进行操作,无法记录 而且堡垒机的操作审计较单一,不如auditbeat功能丰富,展示功能也较弱。
auditbeat是elastic生态的一个组件,依靠elasticsearch和kibana展示,输出方式也多种多样可以是es logstash 普通文件。
linux自身也有auditd审计服务,可与Audit beat共同使用 也可只使用Audit beat,他们的工作方式都是从Linux安全框架中收集事件
安装博文及介绍
因本人安装也是参照下面的博文,所以本文就不再描述详细的安装过程,只写一些不同的点
https://www.cnblogs.com/sanduzxcvbnm/p/12076351.html
配置文件及启动脚本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
| [root@VM-18-174-centos ~]
max_procs: 2
auditbeat.modules:
- module: auditd
audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
period: 1m
state.period: 12h
audit_rules: |
- module: file_integrity
period: 1m
state.period: 12h
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
- module: system
datasets:
period: 1m
state.period: 12h
user.detect_password_changes: true
login.wtmp_file_pattern: /var/log/wtmp*
login.btmp_file_pattern: /var/log/btmp*
setup.template.settings:
index.number_of_shards: 1
setup.kibana:
host: "ip:5601"
output.elasticsearch:
hosts: ["ip:9200"]
username: "username"
password: "password"
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
[root@VM-18-174-centos ~]
[Unit]
Description=Elastalert
After=syslog.target network.target
[Service]
Type=simple
LimitNOFILE=65536
LimitNPROC=65536
WorkingDirectory=/usr/local/auditbeat/
ExecStart=/usr/local/auditbeat/auditbeat -e
TimeoutSec=60
PrivateTmp=true
[Install]
WantedBy=multi-user.target
|
导入模板到kibana中
auditbeat自带了展示模板,导入到kibana中即可看到,一般自带的即可满足需求,也可自定义修改模板:
1
| /usr/local/auditbeat/auditbeat setup
|
图表效果展示
- visiualize组成dashboard,dashboard中的列可以自定义:
网站
官网帮助手册
