从 Auditbeat 迁移到 Elastic Agent
编辑从 Auditbeat 迁移到 Elastic Agent编辑
在开始之前,请阅读从 Beats 迁移到 Elastic Agent,了解如何部署 Elastic Agent 和安装集成。
然后回到此页面,了解可用于替换 Auditbeat 提供的功能的集成。
兼容性编辑
提供 auditd 和 file_integrity 模块替代品的集成仅在 Elastic Stack 8.3 及更高版本中可用。
使用 Elastic Agent 集成替换 Auditbeat 模块编辑
下表描述了您可以用来代替 Auditbeat 模块和数据集的集成。
| 如果您使用… | 您可以改用… | 备注 |
|---|---|---|
Auditd 模块 |
此集成是该模块的直接替代品。您可以将规则和配置移植到此集成。从 Elastic Stack 8.4 开始,您还可以在审计配置中设置 |
|
Auditd 日志 集成 |
如果您不需要管理规则,请使用此集成。它仅解析来自审计守护程序 |
|
文件完整性 模块 |
文件完整性监控 集成 |
此集成是该模块的直接替代品。它会报告实时事件,但无法报告是谁进行了更改。如果您需要跟踪此信息,请改用 Elastic Defend。 |
系统 模块 |
视情况而定… |
没有一个集成可以收集所有这些信息。 |
System.host 数据集 |
Osquery 或 Osquery Manager 集成 |
安排收集信息,例如
|
System.login 数据集 |
报告登录事件。 |
|
Osquery 或 Osquery Manager 集成 |
对 Linux 和 macOS 使用 last 表。 |
|
Fleet system 集成 |
通过 安全事件日志 收集 Windows 的登录事件。 |
|
System.package 数据集 |
系统审计 集成 |
此集成是系统软件包数据集的直接替代品。从 Elastic Stack 8.7 开始,您可以将规则和配置设置移植到此集成。此集成目前安排收集信息,例如 |
Osquery 或 Osquery Manager 集成 |
安排收集信息,例如 |
|
System.process 数据集 |
||
自定义 Windows 事件日志 和 Sysmon 集成 |
提供进程数据。 |
|
Osquery 或 Osquery Manager 集成 |
在某些操作系统上,无需轮询即可从 process 表收集数据。 |
|
System.socket 数据集 |
最佳替代品,因为它支持在 Linux、Windows 和 MacOS 上监控网络连接。包括进程和用户元数据。目前不进行流量统计(字节和数据包计数)或域名富集(但会单独收集 DNS 查询)。 |
|
Osquery 或 Osquery Manager 集成 |
通过 Linux 和 MacOS 的 socket_events 表监控套接字事件。 |
|
System.user 数据集 |
Osquery 或 Osquery Manager 集成 |
通过 Linux、Windows 和 MacOS 的 user 表监控本地用户。 |