Security
Elasticsearch
kibana
audit

Auditbeat + Elasticsearch + Kibana で監査ログを視覚化する (ElasticStack 6.0.0-rc1)

概要

OS の監査ログを取得したかったので Auditbeat 試しのついでに視覚化してみた。

環境

  • Ubuntu 17.04 ※
  • auditbeat-6.0.0-rc1
  • elasticsearch-6.0.0-rc1
  • kibana-6.0.0-rc1

※auditd と並列実行するには kernel 3.16 以上が必要なので注意
(参考)
https://www.elastic.co/blog/brewing-in-beats-running-auditbeat-side-by-side-with-auditd

インストール

JDK

# apt-get install openjdk-8-jdk

Elasticsearch

# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0-rc1.deb
# dpkg -i elasticsearch-6.0.0-rc1.deb

Kibana

# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-rc1-amd64.deb
# dpkg -i kibana-6.0.0-rc1-amd64.deb

Auditbeat

# wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-amd64.deb
# dpkg -i auditbeat-6.0.0-rc1-amd64.deb

設定

kibana
とりあえず外からアクセスできるように

# vi /etc/kibana/kibana.yml

server.host: "0.0.0.0"

Auditbeat
システムコールの監査記録も取得するようにする。

# vi /etc/auditbeat/auditbeat.yml

- module: audit
  metricsets: [kernel]
  kernel.audit_rules: |
    -a always,exit -S execve

起動

各種起動する。

# /etc/init.d/elasticsearch start
# /etc/init.d/kibana start
# /etc/init.d/auditbeat start

セットアップ

# auditbeat setup
Loaded index template
Loaded dashboards

Kibana にアクセス

file module のダッシュボードはセットアップで作成される。

01.png

ダッシュボード作成

kernel モジュールのダッシュボード作ってみる。
実行ユーザー、コマンドとか・・・

02.png