Auditbeat

轻量型审计数据采集器 

收集您 Linux 审计框架的数据,监测文件完整性。Auditbeat 实时采集这些事件,然后发送到 Elastic Stack 其他部分做进一步分析。

下载
Auditbeat 文档

密切关注您的 Linux 系统

无需触碰 auditd 即可在 Elastic Stack 中监控用户的行为和系统进程,分析用户事件数据。Auditbeat 与 Linux 审计框架直接通信,收集与 auditd 相同的数据,并实时发送这些事件消息到 Elastic Stack。如果您比较怀旧,也可以(在新的内核中)让 auditd 与 Auditbeat 一起运行。

您可以使用既有审计规则。轻而易举地采集数据,而无需重写规则。是谁在什么时间做了什么事情?Auditbeat 会记住所有这些原始的系统调用数据,以及相关联的路径,方便您了解所需的上下文信息。

Screenshot of auditbeat

获得合适的消息

避免被杂乱无章的信息、重复活动及毫无意义的代码淹没。与 auditd 不同的是,Auditbeat 会组合相关消息到一个事件里面。它同时也解析这些消息并对其进行标准化处理,如将数字 ID 转换为名字,然后将结构化的数据发送到 Elasticsearch。同时使用每个 Beat 都有的处理器 (processor) 特性,您可以很轻松地对数据进行过滤和修改。

文件完整性监测

Auditbeat 允许您在 Linux、macOS 和 Windows 平台上仔细监控任何您感兴趣的文件目录。文件改变会被实时发送到 Elasticsearch,每条消息都包含元数据和文件内容的加密哈希信息,以便后续进一步分析。

只需简单地指定您想让 Auditbeat 监控的文件目录,便大功告成。

不错过任何检测信号

将 Linux 系统事件通过假脱机传输方式输送至磁盘,这样您的数据管道再也不会错过任何一个数据点,即使发生中断(例如网络问题),也勿需担心。Auditbeat 会保留传入的数据,并在网络恢复正常后将所有内容输送至 Elasticsearch 或 Logstash。

发送至 Elasticsearch。在 Kibana 中实现可视化。

Auditbeat 是 Elastic Stack 的一部分,这意味着它可以与 Logstash、Elasticsearch 和 Kibana 进行无缝集成。无论您要使用 Logstash 转换或充实指标,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 中构建和分享仪表板,Auditbeat 都能轻松地将您的数据发送至最关键的地方。

开始使用 Auditbeat

开放源码且自由使用。启动 Auditbeat 并轻松监测 Linux 审计框架。有疑问?请访问 Auditbeat 文档,或者加入我们的 Auditbeat 论坛

下载