Auditbeat 快速入门:安装和配置
编辑Auditbeat 快速入门:安装和配置
编辑本指南介绍如何快速开始收集审计数据。您将学习如何
- 在您要监控的每个系统上安装 Auditbeat
- 指定审计数据的位置
- 将日志数据解析为字段并将其发送到 Elasticsearch
- 在 Kibana 中可视化日志数据
开始之前
编辑您需要 Elasticsearch 用于存储和搜索数据,以及 Kibana 用于可视化和管理数据。
要快速入门,请启动我们 托管的 Elasticsearch 服务 的部署。Elasticsearch 服务可在 AWS、GCP 和 Azure 上使用。 免费试用。
要安装和运行 Elasticsearch 和 Kibana,请参阅 安装 Elastic Stack。
步骤 1:安装 Auditbeat
编辑在您要监控的所有服务器上安装 Auditbeat。
要下载和安装 Auditbeat,请使用适合您系统的命令
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.16.0-amd64.deb sudo dpkg -i auditbeat-8.16.0-amd64.deb
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.16.0-x86_64.rpm sudo rpm -vi auditbeat-8.16.0-x86_64.rpm
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.16.0-darwin-x86_64.tar.gz tar xzvf auditbeat-8.16.0-darwin-x86_64.tar.gz
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.16.0-linux-x86_64.tar.gz tar xzvf auditbeat-8.16.0-linux-x86_64.tar.gz
- 下载 Auditbeat Windows zip 文件: https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.16.0-windows-x86_64.zip
- 将 zip 文件的内容解压缩到
C:\Program Files。 - 将
auditbeat-8.16.0-windows-x86_64目录重命名为Auditbeat。 - 以管理员身份打开 PowerShell 提示符(右键单击 PowerShell 图标并选择 以管理员身份运行)。
-
在 PowerShell 提示符下,运行以下命令将 Auditbeat 安装为 Windows 服务
PS > cd 'C:\Program Files\Auditbeat' PS C:\Program Files\Auditbeat> .\install-service-auditbeat.ps1
如果您的系统禁用了脚本执行,则需要将当前会话的执行策略设置为允许脚本运行。例如:PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-auditbeat.ps1。
显示的命令适用于 AMD 平台,但 ARM 包也可用。有关可用包的完整列表,请参阅 下载页面。
其他安装选项
编辑步骤 2:连接到 Elastic Stack
编辑需要连接到 Elasticsearch 和 Kibana 才能设置 Auditbeat。
在 auditbeat.yml 中设置连接信息。要查找此配置文件,请参阅 目录布局。
指定 cloud.id(您的 Elasticsearch 服务),并将 cloud.auth 设置为有权设置 Auditbeat 的用户。例如
cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw==" cloud.auth: "auditbeat_setup:YOUR_PASSWORD"
|
此示例显示了一个硬编码密码,但您应将敏感值存储在 密钥存储 中。 |
-
设置 Auditbeat 可以找到 Elasticsearch 安装程序的主机和端口,并设置有权设置 Auditbeat 的用户的用户名和密码。例如
output.elasticsearch: hosts: ["https://myEShost:9200"] username: "auditbeat_internal" password: "YOUR_PASSWORD" ssl: enabled: true ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"
此示例显示了一个硬编码密码,但您应将敏感值存储在 密钥存储 中。
此示例显示了一个硬编码指纹,但您应将敏感值存储在 密钥存储 中。指纹是 CA 证书的十六进制编码 SHA-256,当您第一次启动 Elasticsearch 时,安全功能(例如 Elasticsearch 的网络加密 (TLS))默认启用。如果您使用的是 Elasticsearch 首次启动时生成的自签名证书,则需要在此处添加其指纹。指纹打印在 Elasticsearch 启动日志中,或者您可以参考 将客户端连接到 Elasticsearch 文档 以获取其他检索选项。如果您为 Elasticsearch 提供自己的 SSL 证书,请参阅 有关如何设置 SSL 的 Auditbeat 文档。
-
如果您计划使用我们预构建的 Kibana 仪表板,请配置 Kibana 端点。如果 Kibana 在与 Elasticsearch 相同的主机上运行,则跳过此步骤。
Kibana 运行的机器的主机名和端口,例如
mykibanahost:5601。如果您在端口号后指定路径,请包含方案和端口:http://mykibanahost:5601/path。Kibana 的
username和password设置是可选的。如果您未为 Kibana 指定凭据,则 Auditbeat 将使用为 Elasticsearch 输出指定的username和password。要使用预构建的 Kibana 仪表板,此用户必须有权查看仪表板或具有
kibana_admin内置角色。
要了解有关所需角色和权限的更多信息,请参阅 授予用户访问受保护资源的权限。
您可以将数据发送到其他 输出,例如 Logstash,但这需要额外的配置和设置。
步骤 3:配置数据收集模块
编辑Auditbeat 使用 模块 收集审计信息。
默认情况下,Auditbeat 使用适合 Auditbeat 运行的操作系统的配置。
要使用其他配置,请更改 auditbeat.yml 中的模块设置。
以下示例显示 file_integrity 模块配置为在磁盘上指定路径之一中的任何文件发生更改时生成事件
auditbeat.modules: - module: file_integrity paths: - /bin - /usr/bin - /sbin - /usr/sbin - /etc
要测试您的配置文件,请切换到安装 Auditbeat 二进制文件的目录,并使用指定的以下选项在前台运行 Auditbeat:./auditbeat test config -e。确保您的配置文件位于 Auditbeat 预期的路径(请参阅 目录布局),或使用 -c 标志指定配置文件的路径。
有关配置 Auditbeat 的更多信息,另请参阅
- 配置 Auditbeat
- 配置文件格式
-
auditbeat.reference.yml:此参考配置文件显示所有未弃用的选项。您会在与auditbeat.yml相同的位置找到它。
步骤 4:设置资产
编辑Auditbeat 附带用于解析、索引和可视化数据的预定义资产。要加载这些资产
- 确保
auditbeat.yml中指定的用户 有权设置 Auditbeat。 -
在安装目录中,运行
auditbeat setup -e
auditbeat setup -e
./auditbeat setup -e
./auditbeat setup -e
PS > .\auditbeat.exe setup -e
-e是可选的,它将输出发送到标准错误而不是配置的日志输出。
此步骤加载写入 Elasticsearch 的推荐 索引模板,并部署示例仪表板以在 Kibana 中可视化数据。
需要连接到 Elasticsearch(或 Elasticsearch 服务)才能设置初始环境。如果您使用其他输出(例如 Logstash),请参阅 手动加载索引模板 和 加载 Kibana 仪表板。
步骤 5:启动 Auditbeat
编辑在启动 Auditbeat 之前,请修改 auditbeat.yml 中的用户凭据,并指定 有权发布事件 的用户。
要启动 Auditbeat,请运行
sudo service auditbeat start
如果您使用 init.d 脚本启动 Auditbeat,则无法指定命令行标志(请参阅 命令参考)。要指定标志,请在前台启动 Auditbeat。
另请参阅 Auditbeat 和 systemd。
sudo service auditbeat start
如果您使用 init.d 脚本启动 Auditbeat,则无法指定命令行标志(请参阅 命令参考)。要指定标志,请在前台启动 Auditbeat。
另请参阅 Auditbeat 和 systemd。
|
您将以 root 身份运行 Auditbeat,因此您需要更改配置文件的所有权,或使用指定的 |
|
您将以 root 身份运行 Auditbeat,因此您需要更改配置文件的所有权,或使用指定的 |
PS C:\Program Files\auditbeat> Start-Service auditbeat
默认情况下,Windows 日志文件存储在 C:\ProgramData\auditbeat\Logs 中。
Auditbeat 应开始将事件流式传输到 Elasticsearch。
如果您看到有关打开的文件太多的警告,则需要增加 ulimit。有关更多详细信息,请参阅 常见问题解答。
步骤 6:在 Kibana 中查看您的数据
编辑为了让您更轻松地开始审计系统上用户和进程的活动,Auditbeat 附带预构建的 Kibana 仪表板和 UI 以可视化您的数据。
要打开仪表板
-
启动 Kibana
-
在侧边导航中,单击 发现。要查看 Auditbeat 数据,请确保选择了预定义的
auditbeat-*数据视图。如果您在 Kibana 中没有看到数据,请尝试将时间过滤器更改为更大的范围。默认情况下,Kibana 显示过去 15 分钟。
- 在侧边导航中,单击 仪表板,然后选择要打开的仪表板。
这些仪表板作为示例提供。我们建议您 自定义 它们以满足您的需求。
下一步是什么?
编辑现在您已将审计数据流式传输到 Elasticsearch,请了解如何统一您的日志、指标、正常运行时间和应用程序性能数据。
-
通过安装和配置其他 Elastic Beat 从其他来源提取数据
Elastic Beat 捕获 基础设施指标
日志
Windows 事件日志
正常运行时间信息
应用程序性能指标
-
使用 Kibana 中的可观察性应用程序搜索所有数据