Auditd 管理器集成
编辑Auditd 管理器集成
编辑Auditd 管理器集成从 Linux 内核的一部分 Linux Audit Framework 接收审计事件。
此集成仅适用于 Linux。
由 Auditd 管理器支持的会话视图
编辑Auditd 管理器是为 Elastic 安全平台提供 会话视图 功能的集成之一。此功能提供了会话和进程执行数据的可视化表示,该数据根据 Linux 进程模型组织,以帮助您调查 Linux 基础设施上的进程、用户和服务活动。
启用会话数据捕获
编辑有两种方法可以为会话视图功能启用会话数据捕获
方法 1:使用切换开关(推荐)
编辑- 在 Kibana 中导航至 Auditd 管理器集成配置。
- 找到“会话数据”切换开关。
- 打开开关以启用会话数据捕获。
方法 2:手动配置
编辑- 在 Kibana 中导航至 Auditd 管理器集成配置。
- 在“高级选项”的 处理器 部分下添加
add_session_metadata处理器配置。
- add_session_metadata:
backend: "auto"
- 将这些规则添加到配置的 审计规则 部分
-a always,exit -F arch=b64 -S execve,execveat -k exec -a always,exit -F arch=b64 -S exit_group -a always,exit -F arch=b64 -S setsid
更改会自动应用,您无需重启服务。
重要说明
编辑- 使用切换开关(方法 1)会自动应用这些配置,使其成为大多数用户更简单的选择。
- 启用会话数据捕获时,请注意它将收集扩展的进程数据,这可能会产生隐私和存储影响。
- 您可以通过关闭切换开关或删除手动配置来随时禁用会话数据捕获。
- 如果在方法之间切换或禁用该功能,请确保删除任何冲突的配置,以避免出现意外行为。
工作原理
编辑此集成建立内核订阅,以在事件发生时接收事件。
Linux Audit Framework 可以为单个可审计事件发送多个消息。例如,rename 系统调用会导致内核发送八个单独的消息。每个消息描述正在发生的活动的不同方面(系统调用本身、文件路径、当前工作目录、进程标题)。此集成会将来自每个消息的所有数据组合到一个事件中。
一个事件的消息可以与另一个事件的消息交错。此模块将缓冲消息,以便将相关消息组合到一个事件中,即使它们以交错或乱序的方式到达。
有用的命令
编辑运行此集成时,您可能会发现其他监视工具会干扰它。
例如,如果另一个进程(如 auditd)已注册从 Linux Audit Framework 接收数据,则可能会遇到错误。您可以使用以下命令来查看 auditd 服务是否正在运行并停止它
-
查看
auditd是否正在运行service auditd status
-
停止
auditd服务service auditd stop
-
禁用
auditd在启动时启动`chkconfig auditd off`
-
停止
journald监听审计消息(以节省 CPU 使用率和磁盘空间)systemctl mask systemd-journald-audit.socket
审计规则
编辑审计规则是您配置要审计的活动的地方。这些规则配置为应监视的系统调用或文件。例如,您可以跟踪所有 connect 系统调用或对 /etc/passwd 的文件系统写入。
审计大量系统调用可能会给系统带来沉重负担,因此请仔细考虑您定义的规则,并尝试在规则本身中应用过滤器,使其尽可能具有选择性。
内核按照定义的顺序评估规则,因此请将最活跃的规则放在前面,以加快评估速度。
您可以为每个规则分配键,以便更好地识别触发事件的规则,并更容易在 Elasticsearch 中进行后续筛选。
在配置中定义任何审计规则都会导致 elastic-agent 在添加配置中指定的规则之前清除所有现有的审计规则。因此,包含 -D(删除所有)规则是不必要的且不受支持的。
示例
## If you are on a 64 bit platform, everything should be running ## in 64 bit mode. This rule will detect any use of the 32 bit syscalls ## because this might be a sign of someone exploiting a hole in the 32 ## bit API. -a always,exit -F arch=b32 -S all -F key=32bit-abi ## Executions. -a always,exit -F arch=b64 -S execve,execveat -k exec ## External access (warning: these can be expensive to audit). -a always,exit -F arch=b64 -S accept,bind,connect -F key=external-access ## Unauthorized access attempts. -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access # Things that affect identity. -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity # Unauthorized access attempts to files (unsuccessful). -a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -F key=access -a always,exit -F arch=b32 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -F key=access -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -F key=access -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -F key=access
示例
一个 auditd 的示例事件如下所示
{
"@timestamp": "2022-05-12T13:10:13.230Z",
"agent": {
"ephemeral_id": "cfe4170e-f9b4-435f-b19c-a0e75b573b3a",
"id": "753ce520-4f32-45b1-9212-c4dcc9d575a1",
"name": "custom-agent",
"type": "auditbeat",
"version": "8.2.0"
},
"auditd": {
"data": {
"a0": "a",
"a1": "c00024e8c0",
"a2": "38",
"a3": "0",
"arch": "x86_64",
"audit_pid": "22501",
"auid": "unset",
"exit": "56",
"old": "0",
"op": "set",
"result": "success",
"ses": "unset",
"socket": {
"family": "netlink",
"saddr": "100000000000000000000000"
},
"syscall": "sendto",
"tty": "(none)"
},
"message_type": "config_change",
"messages": [
"type=CONFIG_CHANGE msg=audit(1652361013.230:94471): op=set audit_pid=22501 old=0 auid=4294967295 ses=4294967295 res=1",
"type=SYSCALL msg=audit(1652361013.230:94471): arch=c000003e syscall=44 success=yes exit=56 a0=a a1=c00024e8c0 a2=38 a3=0 items=0 ppid=9509 pid=22501 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=\"auditbeat\" exe=\"/usr/share/elastic-agent/data/elastic-agent-b9a28a/install/auditbeat-8.2.0-linux-x86_64/auditbeat\" key=(null)",
"type=SOCKADDR msg=audit(1652361013.230:94471): saddr=100000000000000000000000",
"type=PROCTITLE msg=audit(1652361013.230:94471): proctitle=2F7573722F73686172652F656C61737469632D6167656E742F646174612F656C61737469632D6167656E742D6239613238612F696E7374616C6C2F6175646974626561742D382E322E302D6C696E75782D7838365F36342F617564697462656174002D63006175646974626561742E656C61737469632D6167656E742E796D6C"
],
"result": "success",
"summary": {
"actor": {
"primary": "unset",
"secondary": "root"
},
"how": "/usr/share/elastic-agent/data/elastic-agent-b9a28a/install/auditbeat-8.2.0-linux-x86_64/auditbeat",
"object": {
"primary": "set",
"type": "audit-config"
}
},
"user": {
"filesystem": {
"group": {
"id": "0",
"name": "root"
},
"id": "0",
"name": "root"
},
"saved": {
"group": {
"id": "0",
"name": "root"
},
"id": "0",
"name": "root"
}
}
},
"data_stream": {
"dataset": "auditd_manager.auditd",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "753ce520-4f32-45b1-9212-c4dcc9d575a1",
"snapshot": false,
"version": "8.2.0"
},
"event": {
"action": "changed-audit-configuration",
"agent_id_status": "verified",
"category": [
"process",
"configuration",
"network"
],
"dataset": "auditd_manager.auditd",
"ingested": "2022-05-12T13:10:16Z",
"kind": "event",
"module": "auditd",
"original": "type=CONFIG_CHANGE msg=audit(1652361013.230:94471): op=set audit_pid=22501 old=0 auid=4294967295 ses=4294967295 res=1\ntype=SYSCALL msg=audit(1652361013.230:94471): arch=c000003e syscall=44 success=yes exit=56 a0=a a1=c00024e8c0 a2=38 a3=0 items=0 ppid=9509 pid=22501 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=\"auditbeat\" exe=\"/usr/share/elastic-agent/data/elastic-agent-b9a28a/install/auditbeat-8.2.0-linux-x86_64/auditbeat\" key=(null)\ntype=SOCKADDR msg=audit(1652361013.230:94471): saddr=100000000000000000000000\ntype=PROCTITLE msg=audit(1652361013.230:94471): proctitle=2F7573722F73686172652F656C61737469632D6167656E742F646174612F656C61737469632D6167656E742D6239613238612F696E7374616C6C2F6175646974626561742D382E322E302D6C696E75782D7838365F36342F617564697462656174002D63006175646974626561742E656C61737469632D6167656E742E796D6C",
"outcome": "success",
"sequence": 94471,
"type": [
"change",
"connection",
"info"
]
},
"host": {
"name": "custom-agent"
},
"network": {
"direction": "egress"
},
"process": {
"executable": "/usr/share/elastic-agent/data/elastic-agent-b9a28a/install/auditbeat-8.2.0-linux-x86_64/auditbeat",
"name": "auditbeat",
"parent": {
"pid": 9509
},
"pid": 22501,
"title": "/usr/share/elastic-agent/data/elastic-agent-b9a28a/install/auditbeat-8.2.0-linux-x86_64/auditbeat -c auditbeat.elastic-agent.yml"
},
"service": {
"type": "auditd"
},
"tags": [
"preserve_original_event",
"auditd_manager-auditd"
],
"user": {
"group": {
"id": "0",
"name": "root"
},
"id": "0",
"name": "root"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
auditd.data |
与 Auditd 相关的数据 |
扁平化 |
auditd.data.a0-N |
系统调用的参数 |
关键词 |
auditd.data.acct |
用户的帐户名称 |
关键词 |
auditd.data.acl |
分配给虚拟机的资源的访问模式 |
关键词 |
auditd.data.action |
netfilter 数据包处理 |
关键词 |
auditd.data.added |
检测到的新文件数 |
长整型 |
auditd.data.addr |
用户从中连接的远程地址 |
关键词 |
auditd.data.apparmor |
apparmor 事件信息 |
关键词 |
auditd.data.arch |
elf 体系结构标志 |
关键词 |
auditd.data.argc |
execve 系统调用的参数数量 |
长整型 |
auditd.data.audit_backlog_limit |
审计系统的积压队列大小 |
关键词 |
auditd.data.audit_backlog_wait_time |
审计系统的积压等待时间 |
关键词 |
auditd.data.audit_enabled |
审计系统的启用/禁用状态 |
关键词 |
auditd.data.audit_failure |
审计系统的故障模式 |
关键词 |
auditd.data.audit_pid |
长整型 |
|
auditd.data.auid |
关键词 |
|
auditd.data.banners |
打印页面上使用的横幅 |
关键词 |
auditd.data.bool |
SELinux 布尔的名称 |
关键词 |
auditd.data.bus |
虚拟机资源所属的子系统总线的名称 |
关键词 |
auditd.data.cap_fe |
文件分配的有效能力映射 |
关键词 |
auditd.data.cap_fi |
文件继承的能力映射 |
关键词 |
auditd.data.cap_fp |
文件允许的能力映射 |
关键词 |
auditd.data.cap_fver |
文件系统能力版本号 |
关键词 |
auditd.data.cap_pe |
进程有效的能力映射 |
关键词 |
auditd.data.cap_pi |
进程继承的能力映射 |
关键词 |
auditd.data.cap_pp |
进程允许的能力映射 |
关键词 |
auditd.data.capability |
posix 能力 |
关键词 |
auditd.data.cgroup |
sysfs 中 cgroup 的路径 |
关键词 |
auditd.data.changed |
已更改的文件数 |
长整型 |
auditd.data.cipher |
所选的加密密码的名称 |
关键词 |
auditd.data.class |
分配给虚拟机的资源类 |
关键词 |
auditd.data.cmd |
正在执行的命令 |
关键词 |
auditd.data.code |
seccomp 操作代码 |
关键词 |
auditd.data.compat |
is_compat_task 结果 |
关键词 |
auditd.data.daddr |
远程 IP 地址 |
ip |
auditd.data.data |
TTY 文本 |
关键词 |
auditd.data.default_context |
默认 MAC 上下文 |
关键词 |
auditd.data.device |
设备名称 |
关键词 |
auditd.data.dir |
目录名称 |
关键词 |
auditd.data.direction |
加密操作的方向 |
关键词 |
auditd.data.dmac |
远程 MAC 地址 |
关键词 |
auditd.data.dport |
远程端口号 |
长整型 |
auditd.data.enforcing |
新的 MAC 强制执行状态 |
关键词 |
auditd.data.entries |
netfilter 表中的条目数 |
长整型 |
auditd.data.exit |
系统调用退出代码 |
关键词 |
auditd.data.fam |
套接字地址族 |
关键词 |
auditd.data.family |
netfilter 协议 |
关键词 |
auditd.data.fd |
文件描述符编号 |
关键词 |
auditd.data.fe |
文件分配的有效能力映射 |
关键词 |
auditd.data.feature |
正在更改的内核功能 |
关键词 |
auditd.data.fi |
文件分配的继承能力映射 |
关键词 |
auditd.data.file |
文件名 |
关键词 |
auditd.data.flags |
mmap 系统调用标志 |
关键词 |
auditd.data.format |
审计日志的格式 |
关键词 |
auditd.data.fp |
加密密钥指纹 |
关键词 |
auditd.data.frootid |
关键词 |
|
auditd.data.fver |
文件系统能力版本号 |
关键词 |
auditd.data.grantors |
批准操作的 PAM 模块 |
关键词 |
auditd.data.grp |
组名称 |
关键词 |
auditd.data.hook |
数据包来自的 netfilter 钩子 |
关键词 |
auditd.data.hostname |
用户从中连接的主机名 |
关键词 |
auditd.data.icmp_type |
icmp 消息的类型 |
关键词 |
auditd.data.id |
在帐户更改期间 |
关键词 |
auditd.data.igid |
ipc 对象的组 ID |
关键词 |
auditd.data.img_ctx |
虚拟机的磁盘映像上下文字符串 |
关键词 |
auditd.data.inif |
输入接口号 |
关键词 |
auditd.data.ino |
inode 编号 |
关键词 |
auditd.data.inode_gid |
inode 所有者的组 ID |
关键词 |
auditd.data.inode_uid |
inode 所有者的用户 ID |
关键词 |
auditd.data.invalid_context |
SELinux 上下文 |
关键词 |
auditd.data.ioctlcmd |
ioctl 系统调用的请求参数 |
关键词 |
auditd.data.ip |
打印机的网络地址 |
ip |
auditd.data.ipid |
IP 数据报片段标识符 |
关键词 |
auditd.data.ipx_net |
IPX 网络号 |
关键词 |
auditd.data.items |
事件中的路径记录数 |
长整型 |
auditd.data.iuid |
ipc 对象的用户 ID |
关键词 |
auditd.data.kernel |
内核的版本号 |
关键词 |
auditd.data.kind |
加密操作中的服务器或客户端 |
关键词 |
auditd.data.ksize |
加密操作的密钥大小 |
关键词 |
auditd.data.laddr |
本地网络地址 |
关键词 |
auditd.data.len |
长度 |
关键词 |
auditd.data.list |
审计系统的过滤器列表编号 |
关键词 |
auditd.data.lport |
本地网络端口 |
长整型 |
auditd.data.mac |
选择的加密 MAC 算法 |
关键词 |
auditd.data.macproto |
以太网数据包类型 ID 字段 |
关键词 |
auditd.data.maj |
设备主设备号 |
关键词 |
auditd.data.major |
设备主设备号 |
关键词 |
auditd.data.minor |
设备次设备号 |
关键词 |
auditd.data.model |
用于虚拟化的安全模型 |
关键词 |
auditd.data.msg |
审计记录的有效负载 |
关键词 |
auditd.data.nargs |
套接字调用的参数数量 |
长整型 |
auditd.data.net |
网络 MAC 地址 |
关键词 |
auditd.data.new |
在功能中设置的值 |
关键词 |
auditd.data.new_chardev |
分配给虚拟机的新字符设备 |
关键词 |
auditd.data.new_disk |
添加到虚拟机的磁盘 |
关键词 |
auditd.data.new_enabled |
新的 TTY 审计启用设置 |
关键词 |
auditd.data.new_fs |
添加到虚拟机的文件系统 |
关键词 |
auditd.data.new_gid |
正在分配的新组 ID |
关键词 |
auditd.data.new_level |
新的运行级别 |
关键词 |
auditd.data.new_lock |
功能锁的新值 |
关键词 |
auditd.data.new_log_passwd |
TTY 密码记录的新值 |
关键词 |
auditd.data.new_mem |
新的内存量(KB) |
关键词 |
auditd.data.new_net |
分配给虚拟机的 MAC 地址 |
关键词 |
auditd.data.new_pe |
新的进程有效能力映射 |
关键词 |
auditd.data.new_pi |
新的进程继承能力映射 |
关键词 |
auditd.data.new_pp |
新的进程允许能力映射 |
关键词 |
auditd.data.new_range |
新的 SELinux 范围 |
关键词 |
auditd.data.new_rng |
从虚拟机添加的 rng 的设备名称 |
关键词 |
auditd.data.new_role |
新的 SELinux 角色 |
关键词 |
auditd.data.new_ses |
ses 值 |
关键词 |
auditd.data.new_seuser |
新的 SELinux 用户 |
关键词 |
auditd.data.new_vcpu |
新的 CPU 核心数 |
长整型 |
auditd.data.nlnk_fam |
netlink 协议号 |
关键词 |
auditd.data.nlnk_grp |
netlink 组号 |
关键词 |
auditd.data.nlnk_pid |
netlink 数据包发送者的 PID |
长整型 |
auditd.data.oauid |
对象的登录用户 ID |
关键词 |
auditd.data.obj |
lspp 对象上下文字符串 |
关键词 |
auditd.data.obj_gid |
对象的组 ID |
关键词 |
auditd.data.obj_uid |
对象的用户 ID |
关键词 |
auditd.data.ocomm |
对象的命令行名称 |
关键词 |
auditd.data.oflag |
open 系统调用标志 |
关键词 |
auditd.data.old |
旧值 |
关键词 |
auditd.data.old_auid |
之前的 auid 值 |
关键词 |
auditd.data.old_chardev |
当前分配给虚拟机的字符设备 |
关键词 |
auditd.data.old_disk |
从虚拟机中删除的磁盘 |
关键词 |
auditd.data.old_enabled |
当前的 TTY 审计启用设置 |
关键词 |
auditd.data.old_enforcing |
旧的 MAC 强制执行状态 |
关键词 |
auditd.data.old_fs |
从虚拟机中删除的文件系统 |
关键词 |
auditd.data.old_level |
旧的运行级别 |
关键词 |
auditd.data.old_lock |
功能锁的当前值 |
关键词 |
auditd.data.old_log_passwd |
TTY 密码记录的当前值 |
关键词 |
auditd.data.old_mem |
当前的内存量(KB) |
关键词 |
auditd.data.old_net |
当前分配给虚拟机的 MAC 地址 |
关键词 |
auditd.data.old_pa |
关键词 |
|
auditd.data.old_pe |
旧的进程有效能力映射 |
关键词 |
auditd.data.old_pi |
旧的进程继承能力映射 |
关键词 |
auditd.data.old_pp |
旧的进程允许能力映射 |
关键词 |
auditd.data.old_prom |
网络混杂模式标志 |
关键词 |
auditd.data.old_range |
当前的 SELinux 范围 |
关键词 |
auditd.data.old_rng |
从虚拟机中删除的 rng 的设备名称 |
关键词 |
auditd.data.old_role |
当前的 SELinux 角色 |
关键词 |
auditd.data.old_ses |
之前的 ses 值 |
关键词 |
auditd.data.old_seuser |
当前的 SELinux 用户 |
关键词 |
auditd.data.old_val |
SELinux 布尔值的当前值 |
关键词 |
auditd.data.old_vcpu |
当前的 CPU 核心数 |
长整型 |
auditd.data.op |
正在执行的审计操作 |
关键词 |
auditd.data.opid |
对象的进程 ID |
长整型 |
auditd.data.oses |
对象的会话 ID |
关键词 |
auditd.data.outif |
输出接口号 |
关键词 |
auditd.data.pa |
关键词 |
|
auditd.data.parent |
父文件的 inode 号 |
关键词 |
auditd.data.pe |
关键词 |
|
auditd.data.per |
linux 个性 |
关键词 |
auditd.data.perm |
正在使用的文件权限 |
关键词 |
auditd.data.perm_mask |
触发监视事件的文件权限掩码 |
关键词 |
auditd.data.permissive |
SELinux 处于宽容模式 |
关键词 |
auditd.data.pfs |
完美前向保密方法 |
关键词 |
auditd.data.pi |
关键词 |
|
auditd.data.pp |
关键词 |
|
auditd.data.printer |
打印机名称 |
关键词 |
auditd.data.prom |
网络混杂模式标志 |
关键词 |
auditd.data.proto |
网络协议 |
关键词 |
auditd.data.qbytes |
ipc 对象字节数 |
关键词 |
auditd.data.range |
用户的 SE Linux 范围 |
关键词 |
auditd.data.reason |
表示操作原因的文本字符串 |
关键词 |
auditd.data.removed |
已删除文件的数量 |
长整型 |
auditd.data.res |
审计操作的结果(成功/失败) |
关键词 |
auditd.data.reset |
关键词 |
|
auditd.data.resrc |
正在分配的资源 |
关键词 |
auditd.data.result |
关键词 |
|
auditd.data.rport |
远程端口号 |
长整型 |
auditd.data.sauid |
发送的登录用户 ID |
关键词 |
auditd.data.scontext |
主题的上下文字符串 |
关键词 |
auditd.data.selected_context |
分配给会话的新 MAC 上下文 |
关键词 |
auditd.data.seperm |
正在决定的 SELinux 权限 |
关键词 |
auditd.data.seperms |
正在使用的 SELinux 权限 |
关键词 |
auditd.data.seqno |
序列号 |
长整型 |
auditd.data.seresult |
SELinux AVC 授予/拒绝的决定 |
关键词 |
auditd.data.ses |
登录会话 ID |
关键词 |
auditd.data.seuser |
用户的 SE Linux 用户帐户 |
关键词 |
auditd.data.sig |
信号编号 |
关键词 |
auditd.data.sigev_signo |
信号编号 |
关键词 |
auditd.data.smac |
本地 MAC 地址 |
关键词 |
auditd.data.socket.addr |
远程地址。 |
关键词 |
auditd.data.socket.family |
套接字族(unix、ipv4、ipv6、netlink)。 |
关键词 |
auditd.data.socket.path |
这是与 unix 套接字关联的路径。 |
关键词 |
auditd.data.socket.port |
端口号。 |
长整型 |
auditd.data.socket.saddr |
原始套接字地址结构。 |
关键词 |
auditd.data.spid |
发送的进程 ID |
长整型 |
auditd.data.sport |
本地端口号 |
长整型 |
auditd.data.state |
审计守护进程配置产生的状态 |
关键词 |
auditd.data.subj |
lspp 主题的上下文字符串 |
关键词 |
auditd.data.success |
系统调用是否成功 |
关键词 |
auditd.data.syscall |
事件发生时生效的系统调用号 |
关键词 |
auditd.data.table |
netfilter 表名称 |
关键词 |
auditd.data.tclass |
目标的对象的分类 |
关键词 |
auditd.data.tcontext |
目标或对象的上下文字符串 |
关键词 |
auditd.data.terminal |
用户在其上运行程序的终端名称 |
关键词 |
auditd.data.tty |
用户在其上运行程序的 tty udevice |
关键词 |
auditd.data.unit |
systemd 单元 |
关键词 |
auditd.data.uri |
指向打印机的 URI |
关键词 |
auditd.data.uuid |
UUID |
关键词 |
auditd.data.val |
与操作关联的通用值 |
关键词 |
auditd.data.ver |
审计守护进程的版本号 |
关键词 |
auditd.data.virt |
正在引用的虚拟化类型 |
关键词 |
auditd.data.vm |
虚拟机名称 |
关键词 |
auditd.data.vm_ctx |
虚拟机的上下文字符串 |
关键词 |
auditd.data.vm_pid |
虚拟机的进程 ID |
长整型 |
auditd.data.watch |
监视记录中的文件名 |
关键词 |
auditd.file.selinux.domain |
参与者的 SELinux 域或类型。 |
关键词 |
auditd.file.selinux.level |
参与者的 SELinux 级别。 |
关键词 |
auditd.file.selinux.role |
用户的 SELinux 角色 |
关键词 |
auditd.file.selinux.user |
提交身份验证的帐户 |
关键词 |
auditd.message_type |
审计消息类型(例如,syscall 或 apparmor_denied)。 |
关键词 |
auditd.messages |
用于构建此文档的从内核接收的原始消息的有序列表。如果在处理数据时发生错误,或者在配置中设置了 include_raw_message,则会显示此字段。 |
关键词 |
auditd.paths |
扁平化 |
|
auditd.paths.dev |
在 /dev 中找到的设备名称 |
关键词 |
auditd.paths.inode |
inode 编号 |
关键词 |
auditd.paths.item |
正在记录哪个项目 |
关键词 |
auditd.paths.mode |
文件上的模式标志 |
关键词 |
auditd.paths.name |
avcs 中的文件名 |
关键词 |
auditd.paths.nametype |
正在引用的文件操作类型 |
关键词 |
auditd.paths.obj_domain |
关键词 |
|
auditd.paths.obj_level |
关键词 |
|
auditd.paths.obj_role |
关键词 |
|
auditd.paths.obj_type |
关键词 |
|
auditd.paths.obj_user |
关键词 |
|
auditd.paths.ogid |
文件所有者组 ID |
关键词 |
auditd.paths.ouid |
文件所有者用户 ID |
关键词 |
auditd.paths.rdev |
设备标识符(仅限特殊文件) |
关键词 |
auditd.result |
审计操作的结果(成功/失败)。 |
关键词 |
auditd.session |
分配给登录的会话 ID。与登录会话相关的所有事件都将具有相同的值。 |
关键词 |
auditd.summary.actor.primary |
参与者的主要身份。这是参与者的原始登录 ID。即使该用户更改为另一个帐户,它也不会更改。 |
关键词 |
auditd.summary.actor.secondary |
参与者的辅助身份。通常与主身份相同,除非用户使用了 su。 |
关键词 |
auditd.summary.how |
这描述了操作的执行方式。通常,这是触发事件的正在执行的 exe 或命令。 |
关键词 |
auditd.summary.object.primary |
关键词 |
|
auditd.summary.object.secondary |
关键词 |
|
auditd.summary.object.type |
对“事物”的描述(例如,文件、套接字、用户会话)。 |
关键词 |
auditd.user.audit.id |
关键词 |
|
auditd.user.audit.name |
关键词 |
|
auditd.user.filesystem.group.id |
关键词 |
|
auditd.user.filesystem.group.name |
关键词 |
|
auditd.user.filesystem.id |
关键词 |
|
auditd.user.filesystem.name |
关键词 |
|
auditd.user.new_auid.id |
关键词 |
|
auditd.user.new_auid.name |
关键词 |
|
auditd.user.old_auid.id |
关键词 |
|
auditd.user.old_auid.name |
关键词 |
|
auditd.user.saved.group.id |
关键词 |
|
auditd.user.saved.group.name |
关键词 |
|
auditd.user.saved.id |
关键词 |
|
auditd.user.saved.name |
关键词 |
|
auditd.user.selinux.category |
参与者的 SELinux 类别或隔离区。 |
关键词 |
auditd.user.selinux.domain |
参与者的 SELinux 域或类型。 |
关键词 |
auditd.user.selinux.level |
参与者的 SELinux 级别。 |
关键词 |
auditd.user.selinux.role |
用户的 SELinux 角色 |
关键词 |
auditd.user.selinux.user |
提交身份验证的帐户 |
关键词 |
auditd.warnings |
Beat 在构建事件期间生成的警告。默认情况下禁用这些警告,仅用于开发和调试目的。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 unix 套接字。您应始终将原始地址存储在 |
关键词 |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
长整型 |
ecs.version |
此事件符合的 ECS 版本。 |
关键词 |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
描述事件的唯一 ID。 |
关键词 |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键词 |
file.device |
作为文件来源的设备。 |
关键词 |
file.gid |
文件的主要组 ID (GID)。 |
关键词 |
file.group |
文件的主要组名称。 |
关键词 |
file.inode |
表示文件系统中文件的 inode。 |
关键词 |
file.mode |
文件模式的八进制表示。 |
关键词 |
file.owner |
文件所有者的用户名。 |
关键词 |
file.path |
文件的完整路径,包括文件名。如果适用,应包括驱动器盘符。 |
关键词 |
file.path.text |
|
match_only_text |
file.uid |
文件所有者的用户 ID (UID) 或安全标识符 (SID)。 |
关键词 |
group.id |
系统/平台上组的唯一标识符。 |
关键词 |
group.name |
组的名称。 |
关键词 |
network.direction |
网络流量的方向。当从基于主机的监控上下文中映射事件时,请从主机的角度使用 “ingress”(入口)或 “egress”(出口)值填充此字段。当从基于网络或边界的监控上下文中映射事件时,请从网络边界的角度使用 “inbound”(入站)、“outbound”(出站)、“internal”(内部)或 “external”(外部)值填充此字段。请注意,“internal” 不会跨越边界,它旨在描述边界内两台主机之间的通信。另请注意,“external” 旨在描述边界外部两台主机之间的流量。例如,这对 ISP 或 VPN 服务提供商可能很有用。 |
关键词 |
process.args |
进程参数的数组,从可执行文件的绝对路径开始。可能会被过滤以保护敏感信息。 |
关键词 |
process.executable |
进程可执行文件的绝对路径。 |
关键词 |
process.executable.text |
|
match_only_text |
process.exit_code |
进程的退出代码,如果这是一个终止事件。如果事件没有退出代码(例如,进程启动),则此字段应不存在。 |
长整型 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.name.text |
|
match_only_text |
process.parent.pid |
进程 ID。 |
长整型 |
process.pid |
进程 ID。 |
长整型 |
process.title |
进程标题。进程标题有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键词 |
process.title.text |
|
match_only_text |
process.working_directory |
进程的工作目录。 |
关键词 |
process.working_directory.text |
|
match_only_text |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
关键词 |
service.type |
从中收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键词 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 |
关键词 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
user.effective.group.id |
系统/平台上组的唯一标识符。 |
关键词 |
user.effective.group.name |
组的名称。 |
关键词 |
user.effective.id |
用户的唯一标识符。 |
关键词 |
user.effective.name |
用户的简称或登录名。 |
关键词 |
user.effective.name.text |
|
match_only_text |
user.group.id |
系统/平台上组的唯一标识符。 |
关键词 |
user.group.name |
组的名称。 |
关键词 |
user.id |
用户的唯一标识符。 |
关键词 |
user.name |
用户的简称或登录名。 |
关键词 |
user.name.text |
|
match_only_text |
user.target.group.id |
系统/平台上组的唯一标识符。 |
关键词 |
user.target.group.name |
组的名称。 |
关键词 |
user.target.id |
用户的唯一标识符。 |
关键词 |
user.target.name |
用户的简称或登录名。 |
关键词 |
user.target.name.text |
|
match_only_text |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.18.2 |
增强功能 (查看拉取请求) |
8.16.0 或更高版本 |
1.18.1 |
错误修复 (查看拉取请求) |
8.16.0 或更高版本 |
1.18.0 |
增强功能 (查看拉取请求) |
8.16.0 或更高版本 |
1.17.1 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.17.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.16.4 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.3 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.2 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.1 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.6.1 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.2.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.2.0 或更高版本 |