轻量型审计日志采集器

收集您Linux 审计框架的数据,监控文件完整性。Auditbeat 实时采集这些事件,然后发送到 Elastic Stack 其他部分做进一步分析。

获取产品更新。

New Auditbeat now has spooling to disk so you never miss a beat, even if network issues interrupt the flow. Read More

密切关注您的 Linux 系统

无需触碰 auditd 即可在 Elastic Stack 里监控用户的行为和系统进程,分析用户事件数据。Auditbeat 与 Linux 审计框架直接通信,收集与 auditd 相同的数据,并实时发送这些事件消息到 Elastic Stack。如果您比较怀旧,也可以让 auditd 与 Auditbeat 一起运行(新的内核)。

您可以使用既有审计规则来轻而易举地收集数据,而无需重写规则。是谁采取的行动?他们在什么时间做了什么事情?Auditbeat 会记住所有这些原始的系统调用数据,并做好路径关联,方便您了解所需的上下文信息。

得到合适的消息

避免被杂乱无章的信息、重复活动及毫无意义的代码淹没。与 auditd 不同的是,Auditbeat 会组合相关消息到一个事件里面。它同时也解析这些消息并对其进行标准化处理,如将数字 ID 转换为名字,然后将结构化的数据发送到 Elasticsearch。同时使用每个 Beat 都有的处理器 (processor) 特性,您可以很轻松地对数据进行过滤和修改。

文件完整性监控

Auditbeat 允许您在 Linux、macOS 和 Windows 平台上仔细监控任何您感兴趣的文件目录。文件改变会被实时发送到 Elasticsearch,每条消息都包含元数据和文件内容的加密哈希信息,以便后续进一步分析。

只需简单地指定您想让 Auditbeat 监控的文件目录,便大功告成。

不错过任何检测信号

将 Linux 系统事件通过假脱机传输方式输送至磁盘,这样您的数据管道再也不会错过任何一个数据点,即使发生中断(例如网络问题),也勿需担心。Auditbeat 会保留输入数据,当恢复正常后,会将全部信息输送至 Elasticsearch 或 Logstash。

输送至 Elasticsearch。在 Kibana 中实现可视化。

Auditbeat 是 Elastic Stack 的一部分,这意味着它可以与 Logstash、Elasticsearch 和 Kibana 进行无缝集成。无论您要使用 Logstash 转换或充实指标,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 中构建和分享仪表板。Auditbeat 都能轻松地将您的数据发送至最关键的地方。

开始使用 Auditbeat

启动 Auditbeat 并轻松监控 Linux 审计框架。

下载

开放且自由使用