Auditbeat

避免被杂乱无章的信息、重复活动及毫无意义的代码淹没。与 auditd 不同的是，Auditbeat 会组合相关消息到一个事件里面。它同时也解析这些消息并对其进行标准化处理，如将数字 ID 转换为名字，然后将结构化的数据发送到 Elasticsearch。同时使用每个 Beat 都有的处理器 (processor) 特性，您可以很轻松地对数据进行过滤和修改。

Auditbeat 允许您在 Linux、macOS 和 Windows 平台上仔细监控任何您感兴趣的文件目录。文件改变会被实时发送到 Elasticsearch，每条消息都包含元数据和文件内容的加密哈希信息，以便后续进一步分析。

只需简单地指定您想让 Auditbeat 监控的文件目录，便大功告成。

将 Linux 系统事件通过假脱机传输方式输送至磁盘，这样您的数据管道再也不会错过任何一个数据点，即使发生中断（例如网络问题），也勿需担心。Auditbeat 会保留传入的数据，并在网络恢复正常后将所有内容输送至 Elasticsearch 或 Logstash。

Auditbeat 是 Elastic Stack 的一部分，这意味着它可以与 Logstash、Elasticsearch 和 Kibana 进行无缝集成。无论您要使用 Logstash 转换或充实指标，还是在 Elasticsearch 中随意处理一些数据分析，亦或在 Kibana 中构建和分享仪表板，Auditbeat 都能轻松地将您的数据发送至最关键的地方。