Auditbeat

Evita quedar en la mira de los mensajes divididos, eventos duplicados y números de ID sin significado. A diferencia de auditd, Auditbeat agrupa los mensajes en un evento único. Además, se encarga del parseo y la normalización de los mensajes, y entrega datos estructurados a Elasticsearch; por ejemplo, convierte ID numéricos en nombres. Y con los procesadores que son parte de cada Beat, puedes filtrar y modificar los datos con facilidad.

Auditbeat te permite observar detenidamente listas de directorios en busca de cualquier comportamiento malicioso en Linux, macOS y Windows. Los cambios de archivos se envían en tiempo real a Elasticsearch, cada mensaje con metadatos y hashes criptográficos de los contenidos de archivos para análisis más detallado.

Simplemente especifica las rutas a los directorios que deseas que Auditbeat observe y bebe un café como recompensa.

Rebobina tus eventos de sistema Linux a disco para que el pipeline no omita ningún punto de datos; incluso cuando ocurren interrupciones como problemas en la red. Auditbeat se aferra de los datos entrantes y luego envía todo a Elasticsearch o Logstash cuando todo vuelve a estar en línea.

Auditbeat es parte del Elastic Stack, lo que significa que funciona sin problemas con Logstash, Elasticsearch y Kibana. Ya sea que desees transformar o enriquecer tus métricas con Logstash, explorar las analíticas en Elasticsearch o crear y compartir dashboards en Kibana, Auditbeat facilita el envío de tus datos a donde más se necesiten.