Transfer von Auditdaten leicht gemacht

Sammle deine Linux-Audit-Framework-Daten und überwache die Integrität deiner Dateien. Auditbeat transferiert diese Ereignisse zur weiteren Analyse zum Rest des Elastic Stack – und das in Echtzeit.

Erhalte Produkt-Updates

New Auditbeat is a brand new beat that's now GA and ready for use in production.

Behalte deine Linux-Systeme im Blick

Überwache Benutzeraktivitäten und Prozesse und analysiere deine Ereignisdaten im Elastic Stack ganz ohne auf Auditd zurückgreifen zu müssen. Auditbeat kommuniziert direkt mit dem Linux-Audit-Framework, sammelt die gleichen Daten wie auditd und sendet die entsprechenden Ereignisse in Echtzeit an den Elastic Stack. Falls du jedoch nostalgisch wirst, kannst du auditd natürlich auch neben Auditbeat laufen lassen (in neueren Kerneln).

Warum neu schreiben, was bereits gut funktioniert? Verwende deine bestehenden Auditregeln, um Daten ohne großen Aufwand zu verarbeiten. Wer war der Akteur? Welche Handlung hat er vorgenommen und wann? Auditbeat hält sämtliche Syscall-Originaldaten und die damit verbunden Pfade fest, sodass du immer den Kontext hast, den du benötigst.

Erhalte die richtigen Nachrichten

Vermeide die Probleme von aufgeteilten Nachrichten, doppelten Ereignissen und bedeutungslosen ID-Nummern. Im Gegensatz zu auditd gruppiert Auditbeat verwandte Nachrichten in ein einzelnes Ereignis. Es handhabt zudem das Parsen und die Normalisierung der Nachrichten und liefert so strukturierte Daten an Elasticsearch (wie z. B. die Umwandlung von numerischen IDs in Namen). Und mit den Prozessoren, die ein Teil von jedem Beat sind, kannst du Daten leicht filtern und ändern.

Überwachung der Dateiintegrität

Auditbeat ermöglicht es dir, Verzeichnisse auf zweifelhafte Vorkommnisse unter Linux, macOS und Windows ganz genau zu verfolgen. Dateiänderungen werden in Echtzeit an Elasticsearch gesendet, wobei jede Nachricht für die weitere Analyse Metadaten und kryptografische Hashes der Dateiinhalte enthält.

Gib einfach die Pfade zu den Verzeichnissen an, die Auditbeat überwachen soll.

Übertragung an Elasticsearch. Visualisierung in Kibana.

Auditbeat ist Bestandteil des Elastic Stack und integriert sich daher nahtlos mit Logstash, Elasticsearch und Kibana. Egal, ob du deine Metriken mit Logstash umwandeln oder anreichern, in Elasticsearch mit den Analyse-Tools herumspielen oder deine Dashboards in Kibana einrichten und teilen möchtest – mit Auditbeat überträgst du deine Daten ganz leicht dorthin, wo sie benötigt werden.

Erste Schritte mit Auditbeat

Starte Auditbeat und überwache dein Linux-Audit-Framework mit Leichtigkeit.

Herunterladen

Open Source und kostenlos.