从 Auditbeat 迁移到 Elastic Agent
编辑从 Auditbeat 迁移到 Elastic Agent
编辑在开始之前,请阅读 从 Beats 迁移到 Elastic Agent,了解如何部署 Elastic Agent 和安装集成。
然后返回此页面,了解可用于替换 Auditbeat 提供的功能的集成。
兼容性
编辑提供 auditd 和 file_integrity 模块替换的集成仅在 Elastic Stack 8.3 及更高版本中可用。
用 Elastic Agent 集成替换 Auditbeat 模块
编辑下表描述了您可以用来代替 Auditbeat 模块和数据集的集成。
| 如果您使用… | 您可以使用以下替代… | 说明 |
|---|---|---|
Auditd 模块 |
此集成是模块的直接替换。您可以将规则和配置移植到此集成。从 Elastic Stack 8.4 开始,您还可以在审核配置中设置 |
|
Auditd Logs 集成 |
如果您不需要管理规则,请使用此集成。它仅解析来自审计守护程序 |
|
文件完整性 模块 |
文件完整性监控 集成 |
此集成是模块的直接替换。它报告实时事件,但无法报告谁进行了更改。如果您需要跟踪此信息,请改用 Elastic Defend。 |
系统 模块 |
视情况而定… |
没有单个集成可以收集所有这些信息。 |
System.host 数据集 |
Osquery 或 Osquery Manager 集成 |
安排收集以下信息
|
System.login 数据集 |
报告登录事件。 |
|
Osquery 或 Osquery Manager 集成 |
对于 Linux 和 macOS,使用 last 表。 |
|
Fleet system 集成 |
通过 安全事件日志 收集 Windows 的登录事件。 |
|
System.package 数据集 |
系统审核 集成 |
此集成是 System Package 数据集的直接替换。从 Elastic Stack 8.7 开始,您可以将规则和配置设置移植到此集成。此集成目前安排收集以下信息 |
Osquery 或 Osquery Manager 集成 |
安排收集以下信息 |
|
System.process 数据集 |
||
自定义 Windows 事件日志 和 Sysmon 集成 |
提供进程数据。 |
|
Osquery 或 Osquery Manager 集成 |
在某些操作系统上从 process 表中收集数据,无需轮询。 |
|
System.socket 数据集 |
最佳替换,因为它支持监控 Linux、Windows 和 MacOS 上的网络连接。包括进程和用户元数据。目前不执行流量统计(字节和数据包计数)或域名丰富(但会单独收集 DNS 查询)。 |
|
Osquery 或 Osquery Manager 集成 |
通过 socket_events 表监控 Linux 和 MacOS 上的套接字事件。 |
|
System.user 数据集 |
Osquery 或 Osquery Manager 集成 |
通过 user 表监控 Linux、Windows 和 MacOS 上的本地用户。 |