Auditbeat：多用途審計跟蹤工具

Auditbeat是Elastic Stack中的一個輕量級數據收集器。它能夠通過記錄各種事件，例如文件、網絡和系統管理事件，提供您所需的關鍵安全信息。在本文中，我們將圍繞Auditbeat展開探討，從多個方面對其進行詳細闡述，幫助您更好地使用它。

一、卸載Auditbeat

要卸載Auditbeat，請使用以下命令

sudo dpkg -r auditbeat

要強制刪除請使用以下命令

sudo dpkg -r --force-all auditbeat

這兩個命令將完全刪除Auditbeat及其所有配置和數據文件。

二、安裝與配置Auditbeats

要安裝Auditbeat，請按照以下步驟進行。

下載Auditbeat：您可以從Elastic網站上下載Auditbeat。
安裝Auditbeat：您可以通過以下命令來安裝Auditbeat：

sudo dpkg -i auditbeat-7.14.0-amd64.deb

這份代碼示例將安裝Elastic Stack 7.14.0版本的Auditbeat。

配置Auditbeat：

#----------------------------- System Module -------------------------------
- module: system
  syslog:
    enabled: true
  auth:
    enabled: true
    var.paths: ["/var/log/auth.log*"]
  kern:
    enabled: true
    var.paths: ["/var/log/kern.log*"]
  auditd:
    enabled: true
    var.paths: ["/var/log/audit/audit.log*"]
  message:
    enabled: true
    var.paths: ["/var/log/messages", "/var/log/syslog"]
  package:
    enabled: true
    var.paths: ["/var/log/dpkg.log"]

在這裡，我們啟用了Auditbeat的系統模塊，並配置其採集的日誌種類，如系統日誌、認證日誌、內核日誌、auditd和軟件包日誌。通過var.paths設置它們的日誌路徑。

三、Auditbeat意外停止怎麼辦？

檢查Auditbeat是否正在運行：

sudo systemctl status auditbeat

如果Auditbeat處於inactive狀態，您可以使用以下命令重新啟動它：

sudo systemctl start auditbeat

您可以使用以下命令檢查日誌文件的內容查找錯誤：

journalctl -u auditbeat

四、Auditbeat命令審計

如果您想對特定的命令進行審計，您可以在Auditbeat配置文件的system模塊中添加相應的rule：

- module: system
  audit_rules:
  - "-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-priv_change"

在這個例子中，我們設置Auditbeat來審計sudo命令的使用，被審計的規則為，任何非根用戶使用sudo更改系統權限（例：sudo su），並有關於此事件的日誌記錄。

五、Auditbeat傳入 Windows 系統日誌

Auditbeat提供了與Windows系統事件日誌的集成。要啟用此功能，請在Auditbeat Windows配置文件中：

#==========================  Modules configuration =============================
auditbeat.modules:
- module: windows
  event_logs:
    - name: Application
    - name: System
    - name: Security

在這裡，我們啟用Windows模塊，並為應用程序、系統和安全事件日誌配置了event_logs的名稱。

六、Auditbeat內存佔用過大怎麼辦？

默認情況下，Auditbeat會佔用大約100MB的內存，但是對於某些低端設備（如樹莓派等），可能會產生問題。您可以使用以下命令來減小Auditbeat的內存使用：

sudo sysctl -w vm.max_map_count=262144

該命令將虛擬內存區域的最大映射計數設置為262144。這可以通過減少網絡接口的數量來限制大量的網絡通信，從而減少內存佔用並提高性能。

七、Auditbeat Windows選項

除了前面提到的集成Windows事件日誌的模塊外，Auditbeat也提供了一些額外的選項，用於在Windows上進行安全性和可靠性方面的增強。

使用LSASS提供的日誌收集提高端口39在Windows上的數據源。
使用WMI監聽進程創建事件。
在需要時啟用管理員權限。
啟用APM Server以接收數據。
通過使用Windows事件日誌來捕獲DNS解析的事件。

使用以上選項設置您的Auditbeat，可以在Windows上更加安全、穩定。

總結

Auditbeat是Elastic Stack的一個出色數據收集器。與其他數據收集器相比，它的優勢在於易於安裝和配置，以及小巧、高效的數據收集。通過本文的探討，相信您已經了解了如何使用Auditbeat，或者，您可以通過文章提供的代碼示例，進行更加深入的學習和使用。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-hant/n/277970.html