概要
OS の監査ログを取得したかったので Auditbeat 試しのついでに視覚化してみた。
環境
- Ubuntu 17.04 ※
- auditbeat-6.0.0-rc1
- elasticsearch-6.0.0-rc1
- kibana-6.0.0-rc1
※auditd と並列実行するには kernel 3.16 以上が必要なので注意
(参考)
https://www.elastic.co/blog/brewing-in-beats-running-auditbeat-side-by-side-with-auditd
インストール
JDK
# apt-get install openjdk-8-jdk
Elasticsearch
# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0-rc1.deb
# dpkg -i elasticsearch-6.0.0-rc1.deb
Kibana
# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-rc1-amd64.deb
# dpkg -i kibana-6.0.0-rc1-amd64.deb
Auditbeat
# wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-amd64.deb
# dpkg -i auditbeat-6.0.0-rc1-amd64.deb
設定
kibana
とりあえず外からアクセスできるように
# vi /etc/kibana/kibana.yml
server.host: "0.0.0.0"
Auditbeat
システムコールの監査記録も取得するようにする。
# vi /etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
起動
各種起動する。
# /etc/init.d/elasticsearch start
# /etc/init.d/kibana start
# /etc/init.d/auditbeat start
セットアップ
# auditbeat setup
Loaded index template
Loaded dashboards
Kibana にアクセス
file module のダッシュボードはセットアップで作成される。
ダッシュボード作成
kernel モジュールのダッシュボード作ってみる。
実行ユーザー、コマンドとか・・・