› ›

Auditd 模块

编辑

Auditd 模块

编辑

auditd 模块接收来自 Linux 内核一部分的 Linux 审计框架的审计事件。

此模块仅适用于 Linux。

工作原理

编辑

此模块建立对内核的订阅，以便在事件发生时接收事件。因此，与大多数其他模块不同，period 配置选项未使用，因为它不是使用轮询实现的。

Linux 审计框架可以为单个可审计事件发送多个消息。例如，rename 系统调用会导致内核发送八条单独的消息。每条消息都描述正在发生的活动的不同方面（系统调用本身、文件路径、当前工作目录、进程标题）。此模块会将来自每条消息的所有数据组合到单个事件中。

一个事件的消息可能会与另一个事件的消息交错。此模块将缓冲消息，以便即使消息交错或顺序错误，也能将相关消息组合到单个事件中。

有用命令

编辑

在启用 auditd 模块的情况下运行 Auditbeat 时，您可能会发现其他监控工具会干扰 Auditbeat。

例如，如果另一个进程（例如 auditd）注册为接收来自 Linux 审计框架的数据，您可能会遇到错误。您可以使用以下命令查看 auditd 服务是否正在运行并停止它

查看 auditd 是否正在运行
```
service auditd status
```
停止 auditd 服务
```
service auditd stop
```
禁用 auditd 在启动时启动
```
chkconfig auditd off
```

为了节省 CPU 使用率和磁盘空间，您可以使用此命令阻止 journald 侦听审计消息

systemctl mask systemd-journald-audit.socket

检查内核审计系统状态

编辑

Auditbeat 提供了有用的命令来查询 Linux 内核中审计系统的状态。

查看已安装的审计规则列表

auditbeat show auditd-rules

打印已加载规则的列表，类似于 auditctl -l

-a never,exit -S all -F pid=26253
-a always,exit -F arch=b32 -S all -F key=32bit-abi
-a always,exit -F arch=b64 -S execve,execveat -F key=exec
-a always,exit -F arch=b64 -S connect,accept,bind -F key=external-access
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EACCES -F key=access
-a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EPERM -F key=access

查看审计系统状态

auditbeat show auditd-status

打印内核审计系统状态，类似于 auditctl -s

enabled 1
failure 0
pid 0
rate_limit 0
backlog_limit 8192
lost 14407
backlog 0
backlog_wait_time 0
features 0xf

配置选项

编辑

此模块有一些配置选项可用于调整其行为。以下示例显示了所有配置选项及其默认值。

- module: auditd
  resolve_ids: true
  failure_mode: silent
  backlog_limit: 8192
  rate_limit: 0
  include_raw_message: false
  include_warnings: false
  backpressure_strategy: auto
  immutable: false

此模块还支持稍后描述的标准配置选项。

socket_type

此可选设置控制 Auditbeat 用于接收来自内核的事件的套接字类型。这两个选项是 unicast 和 multicast。

当 Auditbeat 是接收审计事件和管理规则的主要用户空间守护程序时，应使用 unicast。只有一个进程可以通过“unicast”连接接收审计事件，因此应停止任何其他守护程序（例如，停止 auditd）。

可以在内核版本 3.16 和更高版本中使用 multicast。通过使用 multicast，Auditbeat 将接收一个审计事件广播，该广播并非仅限于单个进程。这对于 auditd 正在运行和管理规则的情况非常理想。

默认情况下，如果内核版本为 3.16 或更高版本并且未定义任何规则，则 Auditbeat 将使用 multicast。否则，将使用 unicast。

immutable

此布尔设置将审计配置设置为不可变的 (-e 2)。此选项只能与 socket_type: unicast 一起使用，因为 Auditbeat 需要管理规则才能设置它。

需要注意的是，如果启用此设置，则如果停止并恢复 Auditbeat，则将继续处理事件，但配置将不会更新，直到系统完全重新启动。

resolve_ids

此布尔设置启用将 UID 和 GID 解析为其关联名称。默认值为 true。

failure_mode

这决定了内核在关键故障（例如向 Auditbeat 发送事件时出错、积压限制超过、内核内存不足或速率限制超过）时的行为。选项为 silent、log 或 panic。silent 基本上使内核忽略错误，log 使内核使用 printk 写入审计消息，因此它们会显示在系统的 syslog 中，而 panic 会导致内核出现恐慌以防止使用机器。Auditbeat 的默认值为 silent。

backlog_limit

这控制内核将缓冲的最大审计消息数。

rate_limit

这设置内核传递的消息/秒的速率限制。默认为 0，禁用速率限制。将此值更改为零以外的任何值都可能导致消息丢失。减少消息速率的首选方法是对审计规则集更具选择性。

include_raw_message

此布尔设置使 Auditbeat 将构成事件的每个原始消息作为名为 event.original 的字段包含在文档中。默认值为 false。此设置主要用于开发和调试目的。

include_warnings

此布尔设置使 Auditbeat 将在解析原始消息时遇到的任何问题包含为警告。消息写入 error.message 字段。默认值为 false。启用此设置时，无论 include_raw_message 配置设置如何，原始消息都将包含在事件中。此设置主要用于开发和调试目的。

audit_rules

包含应安装到内核的审计规则的字符串。每行应有一条规则。可以使用 # 作为前缀在字符串中嵌入注释。规则的格式与 Linux auditctl 实用程序使用的格式相同。Auditbeat 支持添加文件监视 (-w) 和系统调用规则 (-a 或 -A)。有关更多信息，请参见审计规则。

audit_rule_files

要从中加载审计规则的文件列表。在加载 audit_rules 中声明的规则后，将加载这些文件。支持通配符，并将按字典顺序展开。格式与 audit_rules 字段的格式相同。

ignore_errors

此设置允许忽略规则加载和解析期间的错误，但将其记录为警告。

backpressure_strategy

指定 Auditbeat 用于防止反压传播到内核并影响已审计进程的策略。

可能的取值是

auto（默认）：如果受支持，Auditbeat 使用 kernel 策略，否则回退到 userspace 策略。
kernel：Auditbeat 将内核审计框架中的 backlog_wait_time 设置为 0。如果审计积压队列已满，这会导致内核丢弃事件。需要 3.14 或更高版本的内核。
userspace：当发布管道的反压存在时，Auditbeat 会丢弃事件。如果没有设置 rate_limit，Auditbeat 会设置 5000 的速率限制。用户应测试其设置并相应地调整 rate_limit 选项。
both：Auditbeat 同时使用 kernel 和 userspace 策略。
none：不启用任何反压缓解措施。

标准配置选项

编辑

您可以为任何 Auditbeat 模块指定以下选项。

module

要运行的模块的名称。

enabled

指定模块是否启用的布尔值。

fields

将与数据集事件一起发送的字段的字典。此设置是可选的。

tags

将与数据集事件一起发送的标签列表。此设置是可选的。

processors

要应用于数据集生成的数据的处理器列表。

有关在配置中指定处理器的信息，请参见处理器。

index

如果存在，此格式化字符串将覆盖此模块事件的索引（对于 Elasticsearch 输出），或设置事件元数据的 raw_index 字段（对于其他输出）。此字符串只能引用代理名称和版本以及事件时间戳；要访问动态字段，请使用 output.elasticsearch.index 或处理器。

示例值："%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会扩展到 "auditbeat-myindex-2019.12.13"。

keep_null

如果此选项设置为 true，则输出文档中将发布值为 null 的字段。默认情况下，keep_null 设置为 false。

service.name

用户为收集数据的服务提供的名称。例如，它可以用于识别从具有相同 service.type 的不同集群的节点收集的信息。

审计规则

编辑

审计规则是您配置要审计的活动的位置。这些规则配置为应监控的系统调用或文件。例如，您可以跟踪所有 connect 系统调用或对 /etc/passwd 的文件系统写入。

审计大量系统调用可能会给系统带来沉重的负载，因此请仔细考虑您定义的规则，并尝试在规则本身中应用过滤器，以尽可能具有选择性。

内核按定义规则的顺序评估规则，因此请将最活跃的规则放在最前面，以加快评估速度。

您可以为每个规则分配键，以便更好地识别触发事件的规则并更容易地在 Elasticsearch 中进行过滤。

在配置中定义任何审计规则会导致 Auditbeat 在添加配置中指定的规则之前清除所有现有审计规则。因此，包含 -D（删除所有）规则是不必要的，并且不受支持。

auditbeat.modules:
- module: auditd
  audit_rules: |
    # Things that affect identity.
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity
    -w /etc/shadow -p wa -k identity

    # Unauthorized access attempts to files (unsuccessful).
    -a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -F key=access
    -a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -F key=access
    -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -F key=access
    -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -F key=access

示例配置

编辑

Auditd 模块支持在配置 Auditbeat下描述的常用配置选项。这是一个示例配置

auditbeat.modules:
- module: auditd
  # Load audit rules from separate files. Same format as audit.rules(7).
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |
    ## Define audit rules here.
    ## Create file watches (-w) or syscall audits (-a or -A). Uncomment these
    ## examples or add your own rules.

    ## If you are on a 64 bit platform, everything should be running
    ## in 64 bit mode. This rule will detect any use of the 32 bit syscalls
    ## because this might be a sign of someone exploiting a hole in the 32
    ## bit API.
    #-a always,exit -F arch=b32 -S all -F key=32bit-abi

    ## Executions.
    #-a always,exit -F arch=b64 -S execve,execveat -k exec

    ## External access (warning: these can be expensive to audit).
    #-a always,exit -F arch=b64 -S accept,bind,connect -F key=external-access

    ## Identity changes.
    #-w /etc/group -p wa -k identity
    #-w /etc/passwd -p wa -k identity
    #-w /etc/gshadow -p wa -k identity

    ## Unauthorized access attempts.
    #-a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access
    #-a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access

« 模块文件完整性模块 »