无需触碰 auditd 即可在 Elastic Stack 中监控用户的行为和系统进程,分析用户事件数据。Auditbeat 与 Linux 审计框架直接通信,收集与 auditd 相同的数据,并实时发送这些事件消息到 Elastic Stack。如果您比较怀旧,也可以(在新的内核中)让 auditd 与 Auditbeat 一起运行。
您可以使用既有审计规则。轻而易举地采集数据,而无需重写规则。是谁在什么时间做了什么事情?Auditbeat 会记住所有这些原始的系统调用数据,以及相关联的路径,方便您了解所需的上下文信息。