通过Auditbeat将Linux系统的审计框架数据输出至Elasticsearch Serverless_检索分析服务 Elasticsearch版-阿里云帮助中心

当您需要查看Linux系统的审计框架数据时，可以通过Auditbeat采集Linux系统的审计框架数据并输出至阿里云Elasticsearch Serverless中，然后在控制台中完成可视化查询、分析和展示。本文介绍具体的实现方法。

操作流程

步骤一：环境准备
步骤二：安装并配置Auditbeat
步骤三：在Elasticsearch Serverless服务控制台查看日志信息

步骤一：环境准备

开通阿里云Elasticsearch Serverless服务，并创建应用和日志类型的数据流。
具体操作请参见步骤一：开通服务、创建应用和创建数据流。
创建阿里云ECS实例。
说明 ECS实例用来安装Auditbeat采集器，如果您已创建ECS实例，可忽略此步骤。
具体操作请参见使用向导创建实例。

步骤二：安装并配置Auditbeat

连接ECS实例。
具体操作请参见通过密码或密钥认证登录Linux实例。
说明本文档以普通用户权限为例。
安装Auditbeat。
1. 下载Auditbeat安装包。
```
sudo wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.16.3-linux-x86_64.tar.gz
```
  说明本文以Auditbeat 7.16.3版本为例，其他版本不保证兼容性。如果遇到任何问题，可加入钉钉群11205017670进行咨询。
2. 解压。
```
sudo tar -zxf auditbeat-7.16.3-linux-x86_64.tar.gz
```

修改Auditbeat配置文件。

进入Auditbeat目录。
```
cd auditbeat-7.16.3-linux-x86_64
```
新建Auditbeat配置文件（示例文件名称为ab2serverless.yml）。
```
sudo vim ab2serverless.yml
```

在Auditbeat配置文件中添加以下配置。

auditbeat.modules:
- module: auditd
  # Load audit rules from separate files. Same format as audit.rules(7).
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

output.elasticsearch:
  hosts: ["https://es-serverless-cn-hangzhou.aliyuncs.com:443"]


setup.ilm.enabled: false
setup.template.enabled: false

output.elasticsearch.headers:
  X-Api-Key: *****
  X-Xops-App-Name: zjy-test
  X-Xops-Data-Stream-Name: test_metric
  X-Xops-Data-Type: logs

部分参数说明如下：


参数	说明
auditbeat.modules	配置Auditbeat的数据采集模块。本示例使用`auditd`模块采集Linux系统的审计框架数据，详细信息请参见Auditd Module。如果您需要使用其他模块，请参见Modules。
output.elasticsearch	输出端Elasticsearch配置。 hosts：配置为Elasticsearch Serverless服务的访问地址，获取方式请参见查看应用的基本信息。
setup.ilm.enabled	创建的新索引是否启用索引生命周期管理。需要配置为false。
setup.template.enabled	是否加载Elasticsearch索引模板。需要配置为false。
output.elasticsearch.headers	Serverless数据流的配置： X-Api-Key：配置访问鉴权信息。您在步骤一：环境准备中创建的Serverless应用的Token，获取方式请参见管理Token。 X-Xops-App-Name：应用名。您在步骤一：环境准备中创建的Serverless应用的名称，获取方式请参见应用管理。 X-Xops-Data-Stream-Name：数据流名。您在步骤一：环境准备中创建的日志类型的数据流的名称，获取方式请参见数据流管理。 X-Xops-Data-Type：数据类型，需要设置为logs。

启动Auditbeat，并将日志输出到ab2serverless.log中。
```
sudo nohup ./auditbeat -e -c ab2serverless.yml > ab2serverless.log 2>&1 &
```
说明如果无法传输数据，可以查看ab2serverless.log文件内容分析原因。

步骤三：在Elasticsearch Serverless服务控制台查看日志信息

进入Elasticsearch Serverless服务页面。
在左侧导航栏，单击应用管理。
在应用列表中，单击目标应用名称。
在左侧导航栏，选择全观测应用与可视化 > 日志查询。
在日志查询页面，选择目标数据流，查看该数据流的日志。
更多详细信息，请参见日志查询。