暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / Elasticsearch 使用 Auditbeat采集系统审计日志并生成图表

Elasticsearch 使用 Auditbeat采集系统审计日志并生成图表

原创 shunwah 2022-12-15
2308

作者:马顺华

从事运维管理工作多年,目前就职于某科技有限公司,熟悉运维自动化、OceanBase部署运维、MySQL 运维以及各种云平台技术和产品。并已获得OceanBase认证OBCA、OBCP证书。OceanBase & 墨天轮第二、三、四届技术征文大赛,多次获得 一、二、三 等奖,时常在墨天轮发布原创技术文章,并多次被首页推荐。

Auditbeat是轻量型的审计日志采集器,可以收集linux审计框架的数据、监控文件完整性。能够组合相关消息到一个事件里,生成标准的结构化数据,方便分析,而且能够与Logstash、Elasticsearch和Kibana无缝集成。

image.png

一、Elasticsearch服务器(docker)部署

10.x.x.4 应用es、kibana、Auditbeat

二、Auditbeat 客户端部署规划

10.x.x.4 应用 Auditbeat \主应用服务器 \

10.x.x.5 应用 Auditbeat \主应用服务器

10.x.x.6 应用 Auditbeat \主应用服务器

10.x.x.10 应用 Auditbeat \

10.x.x.11 应用 Auditbeat \

10.x.x.12 应用 Auditbeat \

10.x.x.19 应用 Auditbeat \

10.x.x.20 应用 Auditbeat \

10.x.x.21 应用 Auditbeat \

10.x.x.26 应用 Auditbeat \mysql

10.x.x.27 应用 Auditbeat \mysql

三、安装 Auditbeat

1、rpm包安装:

官方链接下载:
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.8.0-x86_64.rpm
安装:
rpm -vi auditbeat-7.8.0-x86_64.rpm

2、tar.gz包安装:

#### 3、官方链接下载:
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.8.0-linux-x86_64.tar.gz

tar xzvf auditbeat-7.8.0-linux-x86_64.tar.gz

四、配置Auditbeat数据采集模块

1、从安装目录/usr/local/auditbeat-7.8.0

运行:模块设置auditbeat.yml

auditbeat.modules:

- module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

示例显示了file_integrity配置为在指定路径之一中的文件在磁盘上发生更改时生成事件的模块:

2、设置输出elasticsearch.index索引

output.elasticsearch.index: "customname-%{[agent.version]}-%{+yyyy.MM.dd}"
setup.template.name: "customname"
setup.template.pattern: "customname-*"

3、配置输出。输出事件直接发送到 Elasticsearch。

output.elasticsearch:
  hosts: ["10.101.94.4:9200"]

五、 配置Kibana

1、配置Kibana

可以在Kibana的仪表盘查看,但是需要先进行模式加载。如果在auditbeat.yml中配置过setup.dashboards.enabled: true的话就不用执行这句了。

./auditbeat setup --dashboards

2、配置输出。输出事件直接发送到Kibana 可视化仪表板。

setup.kibana:
  host: "10.x.x.4:5601"

3、设置输出Kibana 仪表板

setup.dashboards.index: "customname-*"
六、设置资产

  1. 确保在指定的用户auditbeat.yml授权建立Auditbeat

  2. 从安装目录,运行:

    ./auditbeat setup -e
七、启动 Audibeat
#### 1、启动
./auditbeat

#### 2、在后台启动,不输出日志
nohup ./auditbeat > /dev/null 2>&1 &

3、查看启动进程

ps -aux|grep auditbeat

八、在 Kabana 中查看数据

1、在 Kabana 中查看数据

http://10…x.x.4 :5601/打开Kibana的Discover

image.png

2、可以看到新的索引生成

image.png

3、查看Dashboards仪表盘

image.png

4、查看完整监控

image.png

运行命令中添加 -e “discovery.type=single-node”

docker run \ -e ES_JAVA_OPTS="-Xms1024m -Xmx1024m" \ -e “discovery.type=single-node” \ -d -p 9200:9200
-p 9300:9300 --name ES01 \ elasticsearch

墨力计划墨力原创作者计划elasticsearchauditbeat
最后修改时间:2022-12-15 18:07:05
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论