从 Auditbeat 迁移到 Elastic Agent
编辑从 Auditbeat 迁移到 Elastic Agent
编辑在开始之前,请阅读 从 Beats 迁移到 Elastic Agent,了解如何部署 Elastic Agent 和安装集成。
然后回到此页面,了解可用于替换 Auditbeat 提供的功能的集成。
兼容性
编辑提供 auditd 和 file_integrity 模块替代方案的集成仅在 Elastic Stack 8.3 及更高版本中可用。
使用 Elastic Agent 集成替换 Auditbeat 模块
编辑下表描述了您可以用来替代 Auditbeat 模块和数据集的集成。
| 如果您使用… | 您可以使用以下替代方案… | 注意 |
|---|---|---|
Auditd 模块 |
Auditd 管理器 集成 |
此集成是模块的直接替代品。您可以将规则和配置移植到此集成。从 Elastic Stack 8.4 开始,您还可以在审计配置中设置 |
Auditd 日志 集成 |
如果您不需要管理规则,请使用此集成。它仅解析来自审计守护进程 |
|
文件完整性 模块 |
文件完整性监控 集成 |
此集成是模块的直接替代品。它报告实时事件,但无法报告谁进行了更改。如果您需要跟踪此信息,请改用 Elastic Defend。 |
系统 模块 |
视情况而定… |
没有一个单一的集成可以收集所有这些信息。 |
System.host 数据集 |
Osquery 或 Osquery 管理器 集成 |
计划收集以下信息,例如
|
System.login 数据集 |
报告登录事件。 |
|
Osquery 或 Osquery 管理器 集成 |
使用 last 表格用于 Linux 和 macOS。 |
|
Fleet 系统 集成 |
通过 安全事件日志 收集 Windows 的登录事件。 |
|
System.package 数据集 |
系统审计 集成 |
此集成是系统软件包数据集的直接替代品。从 Elastic Stack 8.7 开始,您可以将规则和配置设置移植到此集成。此集成当前计划收集以下信息,例如 |
Osquery 或 Osquery 管理器 集成 |
计划收集以下信息,例如 |
|
System.process 数据集 |
||
自定义 Windows 事件日志 和 Sysmon 集成 |
提供进程数据。 |
|
Osquery 或 Osquery 管理器 集成 |
从某些操作系统上的 process 表格收集数据,无需轮询。 |
|
System.socket 数据集 |
最佳替代方案,因为它支持在 Linux、Windows 和 MacOS 上监视网络连接。包括进程和用户元数据。目前不进行流量核算(字节和数据包计数)或域名扩充(但会单独收集 DNS 查询)。 |
|
Osquery 或 Osquery 管理器 集成 |
通过 socket_events 表格监视 Linux 和 MacOS 的套接字事件。 |
|
System.user 数据集 |
Osquery 或 Osquery 管理器 集成 |
通过 user 表格监视 Linux、Windows 和 MacOS 的本地用户。 |