icon

Auditbeat

Beats

轻量型审计日志采集器

收集您Linux 审计框架的数据,监控文件完整性。Auditbeat 实时采集这些事件,然后发送到 Elastic Stack 其他部分做进一步分析。

获取产品更新。

NewTry out the system module with new datasets for host, process, socket, and user. Plus, preconfigured machine learning jobs for your Auditbeat data.

密切关注您的 Linux 系统

无需触碰 auditd 即可在 Elastic Stack 里监控用户的行为和系统进程,分析用户事件数据。Auditbeat 与 Linux 审计框架直接通信,收集与 auditd 相同的数据,并实时发送这些事件消息到 Elastic Stack。如果您比较怀旧,也可以让 auditd 与 Auditbeat 一起运行(新的内核)。

您可以使用既有审计规则来轻而易举地收集数据,而无需重写规则。是谁采取的行动?他们在什么时间做了什么事情?Auditbeat 会记住所有这些原始的系统调用数据,并做好路径关联,方便您了解所需的上下文信息。

得到合适的消息

避免被杂乱无章的信息、重复活动及毫无意义的代码淹没。与 auditd 不同的是,Auditbeat 会组合相关消息到一个事件里面。它同时也解析这些消息并对其进行标准化处理,如将数字 ID 转换为名字,然后将结构化的数据发送到 Elasticsearch。同时使用每个 Beat 都有的处理器 (processor) 特性,您可以很轻松地对数据进行过滤和修改。

文件完整性监控

Auditbeat 允许您在 Linux、macOS 和 Windows 平台上仔细监控任何您感兴趣的文件目录。文件改变会被实时发送到 Elasticsearch,每条消息都包含元数据和文件内容的加密哈希信息,以便后续进一步分析。

只需简单地指定您想让 Auditbeat 监控的文件目录,便大功告成。

不错过任何检测信号

将 Linux 系统事件通过假脱机传输方式输送至磁盘,这样您的数据管道再也不会错过任何一个数据点,即使发生中断(例如网络问题),也勿需担心。Auditbeat 会保留输入数据,当恢复正常后,会将全部信息输送至 Elasticsearch 或 Logstash。

输送至 Elasticsearch。在 Kibana 中实现可视化。

Auditbeat 是 Elastic Stack 的一部分,这意味着它可以与 Logstash、Elasticsearch 和 Kibana 进行无缝集成。无论您要使用 Logstash 转换或充实指标,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 中构建和分享仪表板。Auditbeat 都能轻松地将您的数据发送至最关键的地方。

开始使用 Auditbeat

启动 Auditbeat 并轻松监控 Linux 审计框架。

下载

开放且自由使用