配置模块
编辑配置模块
编辑要启用特定的模块,您需要在 auditbeat.yml 配置文件中的 auditbeat.modules 列表中添加条目。列表中的每个条目都以破折号 (-) 开头,后跟该模块的设置。
以下示例显示了一个运行 auditd 和 file_integrity 模块的配置。
auditbeat.modules:
- module: auditd
audit_rules: |
-w /etc/passwd -p wa -k identity
-a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
配置细节因模块而异。有关配置可用模块的更多详细信息,请参阅模块文档。