Auditbeat 快速入门:安装和配置
编辑Auditbeat 快速入门:安装和配置
编辑本指南描述了如何快速开始进行审计数据收集。您将学习如何:
- 在要监控的每个系统上安装 Auditbeat
- 指定审计数据的位置
- 将日志数据解析为字段并将其发送到 Elasticsearch
- 在 Kibana 中可视化日志数据
开始之前
编辑您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。
要快速入门,请启动我们的托管 Elasticsearch Service 的部署。Elasticsearch Service 在 AWS、GCP 和 Azure 上可用。免费试用。
要安装和运行 Elasticsearch 和 Kibana,请参阅安装 Elastic Stack。
步骤 1:安装 Auditbeat
编辑在您要监控的所有服务器上安装 Auditbeat。
要下载和安装 Auditbeat,请使用适用于您系统的命令
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.17.0-amd64.deb sudo dpkg -i auditbeat-8.17.0-amd64.deb
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.17.0-x86_64.rpm sudo rpm -vi auditbeat-8.17.0-x86_64.rpm
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.17.0-darwin-x86_64.tar.gz tar xzvf auditbeat-8.17.0-darwin-x86_64.tar.gz
curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.17.0-linux-x86_64.tar.gz tar xzvf auditbeat-8.17.0-linux-x86_64.tar.gz
- 下载 Auditbeat Windows zip 文件:https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.17.0-windows-x86_64.zip
- 将 zip 文件的内容解压到
C:\Program Files。 - 将
auditbeat-8.17.0-windows-x86_64目录重命名为Auditbeat。 - 以管理员身份打开 PowerShell 提示符(右键单击 PowerShell 图标并选择 以管理员身份运行)。
-
在 PowerShell 提示符下,运行以下命令以将 Auditbeat 安装为 Windows 服务
PS > cd 'C:\Program Files\Auditbeat' PS C:\Program Files\Auditbeat> .\install-service-auditbeat.ps1
如果您的系统上禁用了脚本执行,您需要为当前会话设置执行策略以允许脚本运行。例如:PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-auditbeat.ps1。
显示的命令适用于 AMD 平台,但也提供 ARM 包。请参阅下载页面,查看所有可用软件包的完整列表。
其他安装选项
编辑步骤 2:连接到 Elastic Stack
编辑需要连接到 Elasticsearch 和 Kibana 才能设置 Auditbeat。
在 auditbeat.yml 中设置连接信息。要找到此配置文件,请参阅目录布局。
指定您的 Elasticsearch Service 的 cloud.id,并将 cloud.auth 设置为有权设置 Auditbeat 的用户。例如
cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw==" cloud.auth: "auditbeat_setup:YOUR_PASSWORD"
|
此示例显示了硬编码的密码,但您应该将敏感值存储在密钥库中。 |
-
设置 Auditbeat 可以找到 Elasticsearch 安装的主机和端口,并设置有权设置 Auditbeat 的用户的用户名和密码。例如
output.elasticsearch: hosts: ["https://myEShost:9200"] username: "auditbeat_internal" password: "YOUR_PASSWORD" ssl: enabled: true ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"
此示例显示了硬编码的密码,但您应该将敏感值存储在密钥库中。
此示例显示了硬编码的指纹,但您应该将敏感值存储在密钥库中。指纹是 CA 证书的 HEX 编码的 SHA-256 值,当您第一次启动 Elasticsearch 时,默认启用诸如 Elasticsearch 的网络加密 (TLS) 之类的安全功能。如果您使用的是 Elasticsearch 首次启动时生成的自签名证书,则需要在此处添加其指纹。指纹会打印在 Elasticsearch 启动日志上,或者您可以参考将客户端连接到 Elasticsearch 文档,了解有关检索指纹的其他选项。如果您正在向 Elasticsearch 提供自己的 SSL 证书,请参阅有关如何设置 SSL 的 Auditbeat 文档。
-
如果您计划使用我们预构建的 Kibana 仪表板,请配置 Kibana 端点。如果 Kibana 与 Elasticsearch 在同一主机上运行,请跳过此步骤。
运行 Kibana 的计算机的主机名和端口,例如
mykibanahost:5601。如果您在端口号之后指定路径,请包括方案和端口:http://mykibanahost:5601/path。Kibana 的
username和password设置是可选的。如果您没有为 Kibana 指定凭据,Auditbeat 将使用为 Elasticsearch 输出指定的username和password。要使用预构建的 Kibana 仪表板,此用户必须被授权查看仪表板或拥有
kibana_admin内置角色。
要了解有关所需角色和权限的更多信息,请参阅授予用户访问受保护资源的权限。
您可以将数据发送到其他输出,例如 Logstash,但这需要额外的配置和设置。
步骤 3:配置数据收集模块
编辑Auditbeat 使用模块来收集审计信息。
默认情况下,Auditbeat 使用针对运行 Auditbeat 的操作系统量身定制的配置。
要使用其他配置,请在 auditbeat.yml 中更改模块设置。
以下示例显示了 file_integrity 模块的配置,该模块会在指定路径中的文件在磁盘上发生更改时生成事件
auditbeat.modules: - module: file_integrity paths: - /bin - /usr/bin - /sbin - /usr/sbin - /etc
要测试您的配置文件,请更改到安装 Auditbeat 二进制文件的目录,并使用以下指定选项在前台运行 Auditbeat:./auditbeat test config -e。确保您的配置文件位于 Auditbeat 预期的路径中(请参阅目录布局),或者使用 -c 标志来指定配置文件的路径。
有关配置 Auditbeat 的更多信息,另请参阅
- 配置 Auditbeat
- 配置文件格式
-
auditbeat.reference.yml:此参考配置文件显示了所有非弃用的选项。您会在与auditbeat.yml相同的位置找到它。
步骤 4:设置资产
编辑Auditbeat 带有预定义的资产,用于解析、索引和可视化您的数据。要加载这些资产
- 确保在
auditbeat.yml中指定的用户被授权设置 Auditbeat。 -
在安装目录中,运行
auditbeat setup -e
auditbeat setup -e
./auditbeat setup -e
./auditbeat setup -e
PS > .\auditbeat.exe setup -e
-e是可选的,会将输出发送到标准错误,而不是配置的日志输出。
此步骤会加载推荐的索引模板以写入 Elasticsearch,并部署示例仪表板以可视化 Kibana 中的数据。
需要连接到 Elasticsearch(或 Elasticsearch Service)才能设置初始环境。如果您正在使用其他输出,例如 Logstash,请参阅手动加载索引模板和加载 Kibana 仪表板。
步骤 5:启动 Auditbeat
编辑在启动 Auditbeat 之前,请修改 auditbeat.yml 中的用户凭据,并指定一个授权发布事件的用户。
要启动 Auditbeat,请运行
sudo service auditbeat start
如果您使用 init.d 脚本来启动 Auditbeat,则无法指定命令行标志(请参阅命令参考)。要指定标志,请在前台启动 Auditbeat。
另请参阅Auditbeat 和 systemd。
sudo service auditbeat start
如果您使用 init.d 脚本来启动 Auditbeat,则无法指定命令行标志(请参阅命令参考)。要指定标志,请在前台启动 Auditbeat。
另请参阅Auditbeat 和 systemd。
|
您将以 root 用户身份运行 Auditbeat,因此您需要更改配置文件的所有权,或者使用指定的 |
|
您将以 root 用户身份运行 Auditbeat,因此您需要更改配置文件的所有权,或者使用指定的 |
PS C:\Program Files\auditbeat> Start-Service auditbeat
默认情况下,Windows 日志文件存储在 C:\ProgramData\auditbeat\Logs 中。
Auditbeat 应该开始将事件流式传输到 Elasticsearch。
如果您看到有关打开文件过多的警告,则需要增加 ulimit。有关更多详细信息,请参阅常见问题解答。
步骤 6:在 Kibana 中查看您的数据
编辑为了让您更轻松地开始审计系统上用户和进程的活动,Auditbeat 配备了预构建的 Kibana 仪表板和 UI,用于可视化您的数据。
要打开仪表板
-
启动 Kibana
- 登录到您的 Elastic Cloud 帐户。
- 导航到部署中的 Kibana 端点。
将浏览器指向 https://127.0.0.1:5601,将
localhost替换为 Kibana 主机的名称。 -
在侧边导航中,单击 Discover。要查看 Auditbeat 数据,请确保已选择预定义的
auditbeat-*数据视图。如果您在 Kibana 中没有看到数据,请尝试将时间过滤器更改为更大的范围。默认情况下,Kibana 显示最近 15 分钟的数据。
- 在侧边导航栏中,单击 仪表盘,然后选择您要打开的仪表盘。
这些仪表盘仅作为示例提供。我们建议您自定义它们以满足您的需求。
接下来做什么?
编辑现在您已经将审计数据流式传输到 Elasticsearch 中,接下来学习如何统一您的日志、指标、正常运行时间和应用程序性能数据。
-
通过安装和配置其他 Elastic Beats 从其他来源提取数据
Elastic Beats 用于捕获 基础设施指标
日志
Windows 事件日志
正常运行时间信息
应用程序性能指标
-
使用 Kibana 中的可观测性应用程序搜索所有数据
Elastic 应用程序 用于 探索有关您的生态系统中系统和服务的指标
实时跟踪相关日志数据
监控您的应用程序和服务中的可用性问题
监控应用程序性能
分析安全事件