Auditbeat
轻量级审计数据采集器
收集您的 Linux 审计框架数据并监控文件的完整性。Auditbeat 实时将这些事件发送到 Elastic Stack 的其余部分以进行进一步分析。
密切关注您的 Linux 系统
监控用户活动和进程,并在 Elastic Stack 中分析您的事件数据,无需触及 auditd。Auditbeat 直接与 Linux 审计框架通信,收集与 auditd 相同的数据,并将事件实时发送到 Elastic Stack。如果您怀旧,可以在 Auditbeat 旁边运行 auditd(在新内核中)。
不要重写有效的内容。使用您现有的审计规则轻松采集数据。谁是执行者?他们何时执行了什么操作?Auditbeat 会保留所有原始系统调用数据和关联路径,以便您拥有所需的上下文。
获取正确的信息
避免陷入拆分消息、重复事件和无意义的 ID 号的困境。与 auditd 不同,Auditbeat 将相关消息分组到单个事件中。它还处理消息的解析和规范化,将结构化数据传递到 Elasticsearch——例如将数字 ID 转换为名称。借助每个 Beat 中包含的处理器,您可以轻松过滤和修改数据。
文件完整性监控
Auditbeat 允许您在 Linux、macOS 和 Windows 上仔细观察目录列表,以防出现任何异常情况。文件更改会实时发送到 Elasticsearch,每条消息都包含元数据和文件内容的加密哈希值,以供进一步分析。
只需指定您希望 Auditbeat 监视的目录路径,然后喝杯咖啡庆祝一下即可。
通过开箱即用的集成,在几分钟内从采集到洞察
它不会错过任何一个节拍
将您的 Linux 系统事件假脱机到磁盘,这样即使发生网络问题等中断,您的管道也不会跳过数据点。Auditbeat 会保留传入数据,然后在恢复联机状态时将其全部发送到 Elasticsearch 或 Logstash。
发送到 Elasticsearch。在 Kibana 中可视化。
Auditbeat 是 Elastic Stack 的一部分,这意味着它可以与 Logstash、Elasticsearch 和 Kibana 无缝协作。无论您是想使用 Logstash 转换或丰富指标,还是在 Elasticsearch 中处理一些分析,或在 Kibana 中构建和共享仪表板,Auditbeat 都可以轻松地将您的数据发送到最重要的地方。
