概要

Auditbeat 試しのついでに BigQuery に流して tableau で視覚化してみた。

ElasticStack 版はこちら

環境

  • Google Cloud Platform
  • CentOS 7
  • auditbeat-6.0.0-rc1
  • google-fluentd

やること

Auditbeat -> Stackdriver Logging -> bigquery にエクスポート -> tableau で見る

インストール

google-fluentd

$ curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
$ sudo bash install-logging-agent.sh

Auditbeat

$ sudo yum -y install https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-x86_64.rpm

設定

google-fluentd

fluent-plugin-beats インストール

$ sudo /opt/google-fluentd/embedded/bin/fluent-gem install fluent-plugin-beats --no-document

beats input 設定

/etc/google-fluentd/config.d/beats.conf

<source>
  @type beats
  tag beats.event
</source>

Auditbeat

システムコールの監査記録も取得するようにする。
fluentd に投げるようにする。

/etc/auditbeat/auditbeat.yml

- module: audit
  metricsets: [kernel]
  kernel.audit_rules: |
    -a always,exit -S execve    

#output.elasticsearch:
  #hosts: ["localhost:9200"]

output.logstash:
  hosts: ["localhost:5044"]

起動

各種起動する。

$ sudo systemctl stop auditd  ※
$ sudo /etc/init.d/google-fluentd restart
$ sudo /etc/init.d/auditbeat start

※CentOS 7 の場合は、auditbeat と競合するので停止する

BigQuery にエクスポート

以下でフィルタ

resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"

エクスポート作成より、BigQueryデータセット作成して選択

BigQuery 側で確認

tableau ダッシュボード作成

Kibana のダッシュボードっぽいのを作ってみる

※データソース設定の際は ‘レガシーSQLの使用’ にチェック入れないとエラーになった