添加会话元数据
编辑添加会话元数据
编辑add_session_metadata处理器使用户可以通过Elastic Security平台中的会话视图工具查看更多信息来丰富进程事件。
Auditbeat的当前版本add_session_metadata处理器仅限于虚拟机(VM)和裸机环境。
以下示例演示了如何使用add_session_metadata处理器来增强由Auditbeat的auditd模块生成的进程事件。
auditbeat.modules:
- module: auditd
processors:
- add_session_metadata:
backend: "auto"
add_session_metadata处理器的运行机制
编辑该处理器利用可用的Linux内核技术,收集所有正在运行的系统进程的全面信息,并将这些数据编译到一个进程数据库中。在处理事件(例如由Auditbeat auditd模块生成的事件)时,处理器查询此数据库以检索有关相关进程的信息,包括父进程、会话领导者、进程组领导者和入口领导者。然后,它使用这些元数据丰富原始事件,从而更完整地展现进程关系和系统活动。
这些增强的數據使Elastic Security平台中强大的会话视图工具能够为用户提供更深入的分析和调查见解。
后端
编辑add_session_metadata处理器使用各种后端选项。
-
auto是推荐的设置。它首先尝试使用kernel_tracing,如果需要,则回退到procfs,即使在不支持kernel_tracing的系统上也能确保兼容性。 -
kernel_tracing使用eBPF或kprobes收集有关进程的信息。如果可用,它将使用eBPF;如果不可用,则将回退到kprobes。eBPF需要具有启用eBPF内核支持的系统、对eBPF环形缓冲区的支持以及以超级用户身份运行的auditbeat。Kprobe支持需要Linux内核3.10.0或更高版本,以及以超级用户身份运行的auditbeat。 -
procfs使用proc文件系统收集进程信息。这与可能不支持ebpf的旧系统兼容。为了收集完整的进程信息,auditbeat需要权限来读取procfs中的所有进程数据;例如,以超级用户身份运行或拥有SYS_PTRACE权限。
容器
编辑如果在容器中运行Auditbeat,则容器必须在宿主的PID命名空间中运行。使用auto或kernel_tracing后端时,还必须将这些主机目录安装到容器内的相同路径:/sys/kernel/debug,/sys/fs/bpf。
在Auditbeat中启用和配置会话视图
编辑要配置和启用会话视图功能,您需要:
- 将
add_sessions_metadata处理器添加到您的auditbeat.yml文件中。 - 在您的
auditbeat.yml文件中配置审核规则。 - 重新启动Auditbeat。
我们将更详细地引导您完成这些步骤。
-
编辑您的
auditbeat.yml文件,并将此信息添加到模块配置部分auditbeat.modules: - module: auditd processors: - add_session_metadata: backend: "auto" -
根据您的配置,在
auditbeat.yml文件的模块配置部分或audit.rules.d配置文件中添加审核规则auditbeat.modules: - module: auditd audit_rules: | ## executions -a always,exit -F arch=b64 -S execve,execveat -k exec -a always,exit -F arch=b64 -S exit_group ## set_sid -a always,exit -F arch=b64 -S setsid - 保存您的配置更改。
-
重新启动Auditbeat
sudo systemctl restart auditbeat