Auditbeat

Agente lightweight para dados de auditoria

Colete seus dados do framework de auditoria do Linux e monitore a integridade dos seus arquivos. O Auditbeat envia esses eventos em tempo real para o restante do Elastic Stack para análise posterior.

Fique de olho nos seus sistemas Linux

Monitore a atividade e os processos do usuário e analise seus dados de eventos no Elastic Stack sem tocar no auditd. O Auditbeat se comunica diretamente com o framework de auditoria do Linux, coleta os mesmos dados que o auditd e envia os eventos para o Elastic Stack em tempo real. Se você estiver se sentindo nostálgico(a), pode executar o auditd juntamente com o Auditbeat (em kernels mais recentes).

Não reescreva o que funciona. Use suas regras de auditoria existentes para fazer ingestão de dados sem problemas. Quem era o agente? Que ação ele executou e quando? O Auditbeat retém todos os dados do syscall originais e os caminhos associados para que você tenha o contexto de que precisa.

Screenshot of auditbeat

Receba as mensagens certas

Evite problemas com mensagens quebradas, eventos duplicados e números de identificação sem sentido. Ao contrário do auditd, o Auditbeat agrupa mensagens relacionadas em um único evento. Ele também lida com a análise e a normalização das mensagens, entregando dados estruturados ao Elasticsearch — por exemplo, convertendo IDs numéricos em nomes. E com os processadores que fazem parte de cada Beat, você pode filtrar e corrigir dados facilmente.

Monitoramento da integridade dos arquivos

O Auditbeat permite que você observe cuidadosamente as listas de diretórios para detectar qualquer coisa esquisita acontecendo no Linux, macOS e Windows. As alterações de arquivo são enviadas em tempo real para o Elasticsearch, e cada mensagem contém metadados e hashes criptográficos do conteúdo do arquivo para análise posterior.

Você especifica os caminhos para os diretórios que você deseja que o Auditbeat monitore enquanto toma seu café.

Não perca o ritmo

Faça o spool dos eventos do seu sistema Linux no disco para que seu pipeline não pule um ponto de dados, mesmo quando ocorrerem interrupções, como problemas de rede. O Auditbeat segura os dados recebidos e os envia para o Elasticsearch ou o Logstash quando tudo volta a ficar online.

Envie para o Elasticsearch. Visualize no Kibana.

O Auditbeat faz parte do Elastic Stack, o que significa que funciona perfeitamente com o Logstash, o Elasticsearch e o Kibana. Se você deseja transformar ou enriquecer suas métricas com o Logstash, trabalhar com analítica no Elasticsearch ou criar e compartilhar dashboards no Kibana, o Auditbeat facilita o envio dos seus dados para onde eles são mais relevantes.