配置模块
编辑配置模块编辑
要启用特定模块,请在 auditbeat.yml 配置文件的 auditbeat.modules 列表中添加条目。列表中的每个条目都以短划线 (-) 开头,后跟该模块的设置。
以下示例显示了运行 auditd 和 file_integrity 模块的配置。
auditbeat.modules:
- module: auditd
audit_rules: |
-w /etc/passwd -p wa -k identity
-a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
配置详细信息因模块而异。有关配置可用模块的更多详细信息,请参阅模块文档。