Auditbeat
Agente lightweight para dados de auditoria
Colete seus dados do framework de auditoria do Linux e monitore a integridade dos seus arquivos. O Auditbeat envia esses eventos em tempo real para o restante do Elastic Stack para análise posterior.
Fique de olho nos seus sistemas Linux
Monitore a atividade e os processos do usuário e analise seus dados de eventos no Elastic Stack sem tocar no auditd. O Auditbeat se comunica diretamente com o framework de auditoria do Linux, coleta os mesmos dados que o auditd e envia os eventos para o Elastic Stack em tempo real. Se você estiver se sentindo nostálgico(a), pode executar o auditd juntamente com o Auditbeat (em kernels mais recentes).
Não reescreva o que funciona. Use suas regras de auditoria existentes para fazer ingestão de dados sem problemas. Quem era o agente? Que ação ele executou e quando? O Auditbeat retém todos os dados do syscall originais e os caminhos associados para que você tenha o contexto de que precisa.
Receba as mensagens certas
Evite problemas com mensagens quebradas, eventos duplicados e números de identificação sem sentido. Ao contrário do auditd, o Auditbeat agrupa mensagens relacionadas em um único evento. Ele também lida com a análise e a normalização das mensagens, entregando dados estruturados ao Elasticsearch — por exemplo, convertendo IDs numéricos em nomes. E com os processadores que fazem parte de cada Beat, você pode filtrar e corrigir dados facilmente.
Monitoramento da integridade dos arquivos
O Auditbeat permite que você observe cuidadosamente as listas de diretórios para detectar qualquer coisa esquisita acontecendo no Linux, macOS e Windows. As alterações de arquivo são enviadas em tempo real para o Elasticsearch, e cada mensagem contém metadados e hashes criptográficos do conteúdo do arquivo para análise posterior.
Você especifica os caminhos para os diretórios que você deseja que o Auditbeat monitore enquanto toma seu café.
Não perca o ritmo
Faça o spool dos eventos do seu sistema Linux no disco para que seu pipeline não pule um ponto de dados, mesmo quando ocorrerem interrupções, como problemas de rede. O Auditbeat segura os dados recebidos e os envia para o Elasticsearch ou o Logstash quando tudo volta a ficar online.
Envie para o Elasticsearch. Visualize no Kibana.
O Auditbeat faz parte do Elastic Stack, o que significa que funciona perfeitamente com o Logstash, o Elasticsearch e o Kibana. Se você deseja transformar ou enriquecer suas métricas com o Logstash, trabalhar com analítica no Elasticsearch ou criar e compartilhar dashboards no Kibana, o Auditbeat facilita o envio dos seus dados para onde eles são mais relevantes.