Auditbeat

監査データのための軽量シッパー 

Linuxの監査フレームワークデータを収集し、ファイルの整合性を監視します。Auditbeatからリアルタイムで送信されるイベント情報に基づいて、Elastic Stackがさらに分析を進めます。

Linuxシステムから目を離さない

auditdに頼ることなくユーザーやプロセスの動きを監視し、Elastic Stackに蓄積されたイベントデータを分析することができます。AuditbeatはLinuxの監査フレームワークに直接アクセスし、auditdと同等のデータを収集、Elastic Stackにリアルタイムに送信することができます。お好みであれば、auditdとAuditbeatの両方を使用することもできます(最新のカーネルが必要です)。

運用中のルールを書き直す必要はありません。既存のauditdルールを使って、簡単にデータを投入しましょう。誰が、いつ、どのようなアクションを行ったか把握することができます。Auditbeatは必要に応じて、オリジナルのsyscallデータとパスを関連付けて保持します。

Screenshot of auditbeat

正しいメッセージを受け取る

分割されたメッセージ、重複したイベント、意味のないID番号などに煩わされることはありません。auditdと異なり、Auditbeatは関連するメッセージをひとつのイベントとしてグループ化します。数値のIDを名前に変換するなど、メッセージを分析、正規化し、構造化されたデータに変えてElasticsearchに送ります。送信されたデータは、すべてのBeats製品に搭載された処理システムを使ってフィルターしたり、加工することもできます。

ファイルの整合性監視

Auditbeatを使用して、Linux、macOS、Windowsのディレクトリを注意深く監視することができます。ファイルの変更はすぐにElasticsearchに送信されます。すべてのメッセージにメタデータとファイルの暗号ハッシュが含まれ、さらなる分析を可能にします。

Auditbeatで監視をはじめる手順はとても簡単。対象となるディレクトリを指定するだけです。

決してデータを逃さない

Linuxシステムイベントをディスクにスプーリングすれば、どれほど小さなデータもパイプラインから失われることはありません。もしネットワークに問題が生じても、Auditbeatはデータを受け取り続け、接続が復旧したタイミングですべてのデータを確実にElasticsearchやLogstashへ送信します。

Elasticsearchに送って、Kibanaで可視化。

AuditbeatはElastic Stackの一部です。つまり、Logstash、Elasticsearch、Kibanaとシームレスに連携します。メトリックをLogstashで整形したり情報を付加する、Elasticsearchで分析結果を編集する、Kibanaでダッシュボードを作成して共有する... あらゆる場面で必要な転送先にAuditbeatがデータを送信します。