Auditbeat
审计数据的轻量级传输工具
收集您的 Linux 审计框架数据并监控文件的完整性。Auditbeat 将这些事件实时传输到 Elastic Stack 的其余部分以进行进一步分析。
密切关注您的 Linux 系统
监控用户活动和进程,并在 Elastic Stack 中分析您的事件数据,无需接触 auditd。Auditbeat 直接与 Linux 审计框架通信,收集与 auditd 相同的数据,并将事件实时发送到 Elastic Stack。如果您感到怀旧,可以在较新的内核中与 Auditbeat 一起运行 auditd。
不要重写有效的内容。使用您现有的审计规则来轻松摄取数据。谁是参与者?他们执行了什么操作以及何时执行?Auditbeat 保留所有原始的 syscall 数据和相关路径,以便您拥有所需的上下文。
获取正确的消息
避免陷入分割消息、重复事件和无意义的 ID 号的困境。与 auditd 不同,Auditbeat 将相关消息分组到单个事件中。它还处理消息的解析和规范化,将结构化数据传递到 Elasticsearch,例如将数字 ID 转换为名称。借助每个 Beat 的处理器,您可以轻松地筛选和修改数据。
文件完整性监控
Auditbeat 允许您仔细监视 Linux、macOS 和 Windows 上的目录列表,以查找任何可疑行为。文件更改会实时发送到 Elasticsearch,每条消息都包含元数据和文件内容的加密哈希,以供进一步分析。
只需指定您希望 Auditbeat 监视的目录路径,然后惬意地喝一口咖啡即可。
通过开箱即用的集成,在几分钟内从摄取到洞察
它不会错过任何一个节拍
将您的 Linux 系统事件缓冲到磁盘,以便您的管道不会跳过任何数据点,即使发生网络问题等中断也是如此。Auditbeat 会保留传入的数据,然后在网络恢复正常时将其全部发送到 Elasticsearch 或 Logstash。
发送到 Elasticsearch。在 Kibana 中可视化。
Auditbeat 是 Elastic Stack 的一部分,这意味着它可以与 Logstash、Elasticsearch 和 Kibana 无缝协作。无论您是想使用 Logstash 转换或丰富您的指标,在 Elasticsearch 中摆弄一些分析,还是在 Kibana 中构建和共享仪表板,Auditbeat 都可以轻松地将您的数据发送到最重要的位置。
