系统登录数据集

编辑

此功能为 Beta 版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,因此按“原样”提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 约束。

这是系统模块的 login 数据集。

实现

编辑

login 数据集仅针对 Linux 实现。

在 Linux 上,数据集读取 utmp 文件,这些文件用于跟踪系统中的登录和注销。它们通常位于 /var/log/wtmp (成功登录) 和 /var/log/btmp (失败登录)。

用于定位文件的文件模式可以使用 login.wtmp_file_patternlogin.btmp_file_pattern 进行配置。默认情况下,会读取当前文件和任何轮换文件 (例如 wtmp.1wtmp.2)。

utmp 文件是二进制文件,但您可以使用 utmpdump 实用程序显示其内容。

示例仪表板

编辑

该数据集附带一个示例仪表板

Auditbeat System Login Dashboard

字段

编辑

有关数据集中每个字段的说明,请参阅导出的字段部分。

这是由此数据集生成的示例文档

{
    "@timestamp": "2017-10-12T08:05:34.853Z",
    "event": {
        "action": "user_login",
        "category": "authentication",
        "dataset": "login",
        "kind": "event",
        "module": "system",
        "origin": "/var/log/wtmp",
        "outcome": "success",
        "type": "authentication_success"
    },
    "message": "Login by user vagrant (UID: 1000) on pts/2 (PID: 14962) from 10.0.2.2 (IP: 10.0.2.2)",
    "process": {
        "pid": 14962
    },
    "service": {
        "type": "system"
    },
    "source": {
        "ip": "10.0.2.2"
    },
    "user": {
        "id": 1000,
        "name": "vagrant",
        "terminal": "pts/2"
    }
}