Auditbeat

경량 감사 데이터 수집기

Linux 감사 프레임워크 데이터를 수집하고 파일 무결성을 모니터링하세요. Auditbeat은 이러한 이벤트를 Elastic Stack에 실시간으로 전송하여 추가적인 분석이 가능하도록 지원합니다.

Linux 시스템의 지속적인 감시

감사 데이터의 간섭 없이 사용자 활동 및 프로세스를 모니터링하고, Elastic Stack 에서 이벤트 데이터 분석을 실행합니다. Auditbeat는 Linux 감사 프레임워크와 직접적으로 통신하여 auditd와 동일한 데이터를 수집하고 수집한 데이터를 Elastic Stack에 실시간 전송합니다. 기존 방식을 선호하시는 경우, Auditbeat와 함께 (새로운 커널에서) auditd를 실행할 수도 있습니다.

이미 있는 것을 또 만들어야 할 필요가 없습니다 기존의 감사 규칙을 활용하여 데이터를 간편하게 수집할 수 있습니다. 실행자 정보와 실행된 명령, 명령이 실행된 시기 등 Auditbeat는 사용자가 맥락 정보를 파악할 수 있도록 모든 시스템 호출 데이터의 원본과 관련 경로를 저장합니다.

Screenshot of auditbeat

올바른 메시지 수집

메시지 분리, 중복 이벤트, 의미 없는 숫자 ID값 등으로 인해 혼란에 빠지지 마세요. Auditbeat는 auditd와 다르게 연관된 메시지들을 하나의 이벤트로 그룹화합니다. 이와 함께 숫자 ID를 이름으로 바꾸는 등 메시지 파싱 및 정규화 과정을 거쳐 정형 데이터를 Elasticsearch로 전달하며, 모든 Beat에 있는 프로세서를 이용해 데이터를 손쉽게 필터링 하거나 수정할 수 있습니다.

파일 통합 모니터링

Auditbeat를 이용하여 Linux, macOS, Windows에서 작업 중인 디렉토리 목록을 조회할 수 있습니다. 파일 변경에 대한 내용이 실시간으로 Elasticsearch로 전송되며 이 데이터에는 메타데이터, 파일의 암호화 해시 등이 포함되어 있어 추후 다양한 분석이 가능합니다.

데이터를 감시하고 싶은 곳을 Auditbeat로 지정한 후 그저 편안하게 기다리기만 하세요.

모든 데이터 요소 모니터링

Linux 시스템 이벤트를 디스크에 스풀링하여 어떤 데이터 요소도 놓치지 않으며 네트워크 문제 같은 장애가 발생했을 때에도 안심할 수 있습니다. Auditbeat는 들어오는 데이터를 보관했다가 상태가 정상으로 돌아오면 Elasticsearch나 Logstash로 모든 것을 전송합니다.

Elasticsearch로 데이터를 수집하고 Kibana에서 시각화

Auditbeat는 Elastic Stack을 이루는 구성 요소로서 Logstash, Elasticsearch, Kibana와 원활하게 작동합니다. Logstash를 통한 수집된 메트릭 변환, Elasticsearch를 통한 정교한 분석, Kibana를 통한 대시보드 구성 및 공유 등 Auditbeat 는 어떠한 경우에서든 데이터가 가장 필요한 곳에 손쉽게 전달될 수 있도록 지원합니다.