Transfer von Auditdaten leicht gemacht

Sammeln Sie Ihre Linux-Audit-Framework-Daten und überwachen Sie die Integrität Ihrer Dateien. Auditbeat transferiert diese Ereignisse zur weiteren Analyse an den Rest des Elastic Stacks – und das in Echtzeit.

Erhalten Sie Produkt-Updates

Neu Mit Auditbeat können Sie nun Spooldaten auf Festplatte speichern, sodass Sie nie wieder etwas verpassen – auch nicht, wenn Ihr Workflow durch Netzwerkprobleme unterbrochen wird. Weitere Informationen

Behalten Sie Ihre Linux-Systeme im Blick

Überwachen Sie Benutzeraktivitäten und Prozesse und analysieren Sie Ihre Ereignisdaten im Elastic Stack ganz ohne auf Auditd zurückgreifen zu müssen. Auditbeat kommuniziert direkt mit dem Linux-Audit-Framework, sammelt die gleichen Daten wie auditd und sendet die entsprechenden Ereignisse in Echtzeit an den Elastic Stack. Falls Sie jetzt jedoch nostalgisch werden, können Sie auditd natürlich auch parallel mit Auditbeat laufen lassen (in neueren Kerneln).

Warum neu schreiben, was bereits gut funktioniert? Verwenden Sie Ihre bestehenden Auditregeln, um Daten ohne großen Aufwand zu verarbeiten. Wer war der Akteur? Welche Handlung hat er vorgenommen und wann? Auditbeat hält sämtliche Syscall-Originaldaten und die damit verbunden Pfade fest, sodass Sie stets den Kontext haben, den Sie benötigen.

Erhalten Sie die richtigen Nachrichten

Vermeiden Sie die Probleme von aufgeteilten Nachrichten, doppelten Ereignissen und bedeutungslosen ID-Nummern. Im Gegensatz zu auditd gruppiert Auditbeat verwandte Nachrichten in ein einzelnes Ereignis. Darüber hinaus werden das Parsen und die Normalisierung der Nachrichten gehandhabt und so strukturierte Daten an Elasticsearch geliefert (wie z. B. die Umwandlung von numerischen IDs in Namen). Und mit den Prozessoren, die ein Teil von jedem Beat sind, können Sie Daten leicht filtern und ändern.

Überwachung der Dateiintegrität

Auditbeat ermöglicht es Ihnen, Verzeichnisse auf zweifelhafte Vorkommnisse unter Linux, macOS und Windows ganz genau zu verfolgen. Dateiänderungen werden in Echtzeit an Elasticsearch gesendet, wobei jede Nachricht für die weitere Analyse Metadaten und kryptografische Hashes der Dateiinhalte enthält.

Geben Sie einfach die Pfade zu den Verzeichnissen an, die Auditbeat überwachen soll.

Da geht nichts verloren!

Speichern Sie Ihre Linux-Systemereignisse per Spool-Verfahren auf Festplatte, sodass Ihre Pipeline keinen Datenpunkt mehr überspringt — auch nicht bei nachgelagerten Unterbrechungen. Auditbeat erfasst die eingehenden Daten und sendet sie nach Wiederherstellung des Normalbetriebs an Elasticsearch oder Logstash.

Übertragung an Elasticsearch. Visualisierung in Kibana.

Auditbeat ist Bestandteil des Elastic Stacks und integriert sich daher nahtlos in Logstash, Elasticsearch und Kibana. Egal, ob Sie Ihre Metriken mit Logstash umwandeln oder anreichern, in Elasticsearch mit den Analyse-Tools herumspielen oder Ihre Dashboards in Kibana einrichten und teilen möchten – mit Auditbeat übertragen Sie Ihre Daten ganz leicht dorthin, wo sie benötigt werden.

Erste Schritte mit Auditbeat

Starten Sie Auditbeat und überwachen Sie Ihr Linux-Audit-Framework mit Leichtigkeit.

Herunterladen

Frei zugänglich und kostenlos