溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天小編給大家分享一下如何使用Auditbeat模塊監控shell命令的相關知識點,內容詳細,邏輯清晰,相信大部分人都還太了解這方面的知識,所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。
系統守護進程 auditd 會影響 Auditbeat Audited 模塊的正常使用,所以必須將其禁用。
# 停止 auditd: service auditd stop # 禁用服務: systemctl disable auditd.service
如果您在使用 Auditbeat Auditd 模塊的同時也必須要運行 Audited 進程,那么在內核版本為 3.16 或者更高的情況下可以考慮設置 socket_type: multicast 參數。默認值為 unicast。
Auditbeat 守護進程將事件數據發送到一個 Elasticsearch Service(ESS)集群中。
要想獲取工作示例,必須配置 Auditbeat 的 cloud.id 和 cloud.auth 參數。
編輯 /etc/auditbeat/auditbeat.yml:
cloud.id: <your_cloud_id> cloud.auth: ingest_user:password
Audited 模塊訂閱內核以接收系統事件。定義規則以捕獲這些事件,并且使用Linux Auditctl 進程所使用的格式,詳情參見此文檔:[https://linux.die.net/man/8/auditctl]。
# cat /etc/auditbeat/audit.rules.d/rules.conf -a exit,always -F arch=b64 -F euid=0 -S execve -k root_acct -a exit,always -F arch=b32 -F euid=0 -S execve -k root_acct -a exit,always -F arch=b64 -F euid>=1000 -S execve -k user_acct -a exit,always -F arch=b32 -F euid>=1000 -S execve -k user_acct
euid 是用戶的有效ID。0 代表會獲取 root 用戶和 uid >=1000 或者權限更高的其他用戶的所有活動。
-k 用于為事件分配任意“鍵”,它將顯示在 tags 字段中。它還可以在 Kibana 中用來對事件進行過濾和分類。
運行Auditbeat 加載索引模板,讀取 node pipelines,索引文件周期策略和Kibana 儀表板。auditbeat -e setup
systemctl start auditbeat # 列出啟用的規則: auditbeat show auditd-rules -a never,exit -S all -F pid=23617 -a always,exit -F arch=b64 -S execve -F euid=root -F key=root_acct -a always,exit -F arch=b32 -S execve -F euid=root -F key=root_acct -a always,exit -F arch=b64 -S execve -F euid>=vagrant -F key=user_acct -a always,exit -F arch=b32 -S execve -F euid>=vagrant -F key=user_acct
當用戶執行一些類似于 whoami,ls 以及 lsblk 的 shell 命令時,kibana 中就會發現這些事件。
Kibana 會顯示出 user.name,process.executable,process.args 和 tags 這些選定的字段。
過濾的字段是 user.name: root 和 auditd.data.syscall: execve。
每秒刷新一次數據。
當系統中發生 TTY 事件時,Auditbeat Audited 模塊也可以接收它們。配置system-auth PAM 配置文件以啟用 TTY。只有 root 用戶的 TTY 事件將被實時記錄。其他用戶的事件通常會被緩沖直到 exit。TTY 審計會捕獲系統內置命令像pwd,test 等。
追加以下內容到 /etc/pam.d/system-auth 便可以對所有用戶啟用審核。session required pam_tty_audit.so enable=*
$ sudo su - Last login: Fri Nov 22 23:43:00 UTC 2019 on pts/0 $ helllloooo there! -bash: helllloooo: command not found $ exit
Auditbeat 還可以做什么:
當一個文件在磁盤上更改(創建,更新或刪除)時可以發送事件,得益于 file_integrity 模塊。
通過 system 模塊發送有關系統的指標。
以上就是“如何使用Auditbeat模塊監控shell命令”這篇文章的所有內容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會為大家更新不同的知識,如果還想學習更多的知識,請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
