本文介绍如何通过阿里云Auditbeat收集Linux系统的审计框架数据,监控系统文件的更改情况,并生成可视化图表。
背景信息
Auditbeat是轻量型的审计日志采集器,可以收集Linux审计框架的数据,并监控文件完整性。例如使用Auditbeat从Linux Audit Framework收集和集中审核事件,以及检测对关键文件(如二进制文件和配置文件)的更改,并确定潜在的安全策略冲突,生成标准的结构化数据,方便分析。而且Auditbeat能够与Logstash、Elasticsearch和Kibana无缝集成。
Auditbeat支持两种模块:
- Auditd
Auditd模块接收来自Linux审计框架的审计事件,审计框架是Linux内核的一部分。Auditd模块可以建立对内核的订阅,以便在事件发生时接收它们,详情请参见官方Auditd文档。注意 在启用Auditd模块的情况下运行Auditbeat时,您可能会发现其他监控工具会干扰Auditbeat。例如,如果注册了另一个进程(例如auditd)来从Linux Audit Framework接收数据,则可能会遇到错误。此时可以使用
service auditd stop
命令停止该进程。 - File Integrity
File Integrity模块可以实时监控指定目录下的文件的更改情况。如果要在Linux系统中使用File Integrity,请确保Linux内核支持inotify(2.6.13以上内核均已安装inotify),详情请参见官方File Integrity文档。
说明 目前官方Auditbeat System模块还处于实验阶段,将来的版本中可能删除或者更改,建议不要使用。更多模块详情请参见modules。
前提条件
您已完成以下操作:
- 创建阿里云Elasticsearch实例。
详情请参见创建阿里云Elasticsearch实例。
- 开启阿里云ES实例的自动创建索引功能。
出于安全考虑,阿里云ES默认不允许自动创建索引。但是Beats目前依赖该功能,因此如果采集器Output选择为Elasticsearch,需要开启自动创建索引功能,详情请参见开启自动创建索引。
- 创建阿里云ECS实例,且该ECS实例与阿里云ES实例处于同一专有网络VPC(Virtual Private Cloud)下。
详情请参见使用向导创建实例。
注意 Beats目前仅支持Aliyun Linux、RedHat和CentOS这三种操作系统。 - 在目标ECS实例上安装云助手和Docker服务。