Auditbeat + Elasticsearch + Kibana で監査ログを視覚化する (ElasticStack 6.0.0-rc1)
概要
OS の監査ログを取得したかったので Auditbeat 試しのついでに視覚化してみた。
環境
- Ubuntu 17.04 ※
- auditbeat-6.0.0-rc1
- elasticsearch-6.0.0-rc1
- kibana-6.0.0-rc1
※auditd と並列実行するには kernel 3.16 以上が必要なので注意
(参考)
https://www.elastic.co/blog/brewing-in-beats-running-auditbeat-side-by-side-with-auditd
インストール
JDK
$ sudo apt-get install openjdk-8-jdk
Elasticsearch
$ wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0-rc1.deb
$ sudo dpkg -i elasticsearch-6.0.0-rc1.deb
Kibana
$ wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-rc1-amd64.deb
$ sudo dpkg -i kibana-6.0.0-rc1-amd64.deb
Auditbeat
$ wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-amd64.deb
$ sudo dpkg -i auditbeat-6.0.0-rc1-amd64.deb
設定
kibana
とりあえず外からアクセスできるように
/etc/kibana/kibana.yml
server.host: "0.0.0.0"
Auditbeat
システムコールの監査記録も取得するようにする。
/etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
起動
各種起動する。
$ sudo /etc/init.d/elasticsearch start
$ sudo /etc/init.d/kibana start
$ sudo /etc/init.d/auditbeat start
セットアップ
$ sudo auditbeat setup
Loaded index template
Loaded dashboards
Kibana にアクセス
file module のダッシュボードはセットアップで作成される。
ダッシュボード作成
kernel モジュールのダッシュボード作ってみる。
実行ユーザー、コマンドとか・・・