轻量型审计日志采集器

收集您的 Linux 审计框架的数据,监控文件完整性。Auditbeat 实时的采集这些事件,然后发送到 Elastic Stack 用以进一步分析。

获取产品更新。

New Auditbeat is a brand new beat that's now GA and ready for use in production.

密切关注您的 Linux 系统

无需触碰 auditd 即可在 Elastic Stack 里监控用户的行为和系统进程、分析用户事件数据。Auditbeat 与 Linux 审计框架直接通信,收集与 auditd 相同的数据,并实时发送这些事件消息到 Elastic Stack。如果您比较怀旧,也可以让 auditd 与 Auditbeat 一起运行(新的内核)。

您可以使用现存的审计规则来无痛的收集数据,而无需重写规则。是谁?在什么时间做了什么事情?Auditbeat 会记住所有的这些原始的系统调用数据,并做好路径关联,方便您了解所需的上下文信息。

得到合适的消息

避免被杂乱无章、重复及无意义的消息淹没。与 auditd 不同的是,Auditbeat 会组合相关消息到一个事件里面。它同时也解析和对这些消息进行标准化处理,如将数字 ID 转换为名字,然后将结构化的数据发送到 Elasticsearch。同时使用每个 Beat 都有的 processor 特性,您可以很轻松的对数据进行过滤和修改。

文件完整性监控

Auditbeat 允许您在 Linux、macOS 和 Windows 平台上仔细监控任何您感兴趣的文件目录。文件改变会被实时的发送到 Elasticsearch,每条消息都包含元数据和文件的散列哈希信息,以便后续进一步分析。

只需简单的指定您想让 Auditbeat 监控的文件目录,大功告成。

输送至 Elasticsearch 或 Logstash。 在 Kibana 中实现可视化。

Auditbeat 作为 Elastic Stack 的一部分,意味着它可以无缝的与 Logstash、Elasticsearch 和 Kibana 进行集成。无论您要使用 Logstash 转换或充实指标,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 中构建和分享仪表板。Auditbeat 都能轻松地将您的数据发送至最关键的地方。

开始使用 Auditbeat

启动 Auditbeat 并轻松监控 Linux 审计框架。

下载

开放源码且自由使用。