Auditbeat是Elastic Stack中的一个轻量级数据收集器。它能够通过记录各种事件,例如文件、网络和系统管理事件,提供您所需的关键安全信息。在本文中,我们将围绕Auditbeat展开探讨,从多个方面对其进行详细阐述,帮助您更好地使用它。
一、卸载Auditbeat
要卸载Auditbeat,请使用以下命令
sudo dpkg -r auditbeat
要强制删除请使用以下命令
sudo dpkg -r --force-all auditbeat
这两个命令将完全删除Auditbeat及其所有配置和数据文件。
二、安装与配置Auditbeats
要安装Auditbeat,请按照以下步骤进行。
- 下载Auditbeat:您可以从Elastic网站上下载Auditbeat。
- 安装Auditbeat:您可以通过以下命令来安装Auditbeat:
sudo dpkg -i auditbeat-7.14.0-amd64.deb
这份代码示例将安装Elastic Stack 7.14.0版本的Auditbeat。
- 配置Auditbeat:
#----------------------------- System Module -------------------------------
- module: system
syslog:
enabled: true
auth:
enabled: true
var.paths: ["/var/log/auth.log*"]
kern:
enabled: true
var.paths: ["/var/log/kern.log*"]
auditd:
enabled: true
var.paths: ["/var/log/audit/audit.log*"]
message:
enabled: true
var.paths: ["/var/log/messages", "/var/log/syslog"]
package:
enabled: true
var.paths: ["/var/log/dpkg.log"]
在这里,我们启用了Auditbeat的系统模块,并配置其采集的日志种类,如系统日志、认证日志、内核日志、auditd和软件包日志。通过var.paths设置它们的日志路径。
三、Auditbeat意外停止怎么办?
检查Auditbeat是否正在运行:
sudo systemctl status auditbeat
如果Auditbeat处于inactive状态,您可以使用以下命令重新启动它:
sudo systemctl start auditbeat
您可以使用以下命令检查日志文件的内容查找错误:
journalctl -u auditbeat
四、Auditbeat命令审计
如果您想对特定的命令进行审计,您可以在Auditbeat配置文件的system模块中添加相应的rule:
- module: system audit_rules: - "-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-priv_change"
在这个例子中,我们设置Auditbeat来审计sudo命令的使用,被审计的规则为,任何非根用户使用sudo更改系统权限(例:sudo su),并有关于此事件的日志记录。
五、Auditbeat传入 Windows 系统日志
Auditbeat提供了与Windows系统事件日志的集成。要启用此功能,请在Auditbeat Windows配置文件中:
#========================== Modules configuration =============================
auditbeat.modules:
- module: windows
event_logs:
- name: Application
- name: System
- name: Security
在这里,我们启用Windows模块,并为应用程序、系统和安全事件日志配置了event_logs的名称。
六、Auditbeat内存占用过大怎么办?
默认情况下,Auditbeat会占用大约100MB的内存,但是对于某些低端设备(如树莓派等),可能会产生问题。您可以使用以下命令来减小Auditbeat的内存使用:
sudo sysctl -w vm.max_map_count=262144
该命令将虚拟内存区域的最大映射计数设置为262144。这可以通过减少网络接口的数量来限制大量的网络通信,从而减少内存占用并提高性能。
七、Auditbeat Windows选项
除了前面提到的集成Windows事件日志的模块外,Auditbeat也提供了一些额外的选项,用于在Windows上进行安全性和可靠性方面的增强。
- 使用LSASS提供的日志收集提高端口39在Windows上的数据源。
- 使用WMI监听进程创建事件。
- 在需要时启用管理员权限。
- 启用APM Server以接收数据。
- 通过使用Windows事件日志来捕获DNS解析的事件。
使用以上选项设置您的Auditbeat,可以在Windows上更加安全、稳定。
总结
Auditbeat是Elastic Stack的一个出色数据收集器。与其他数据收集器相比,它的优势在于易于安装和配置,以及小巧、高效的数据收集。通过本文的探讨,相信您已经了解了如何使用Auditbeat,或者,您可以通过文章提供的代码示例,进行更加深入的学习和使用。
