欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

淺析使用?Auditbeat?模塊監(jiān)控?shell?命令的問題

 更新時(shí)間:2022年02月18日 15:22:10   作者:三度  
Auditbeat Audited 模塊可以用來監(jiān)控所有用戶在系統(tǒng)上執(zhí)行的 shell 命令,在終端用戶偶爾才會(huì)登錄的服務(wù)器上,通常需要進(jìn)行監(jiān)控,本文給大家介紹使用?Auditbeat?模塊監(jiān)控?shell?命令的相關(guān)知識(shí),感興趣的朋友一起看看吧

使用 Auditbeat 模塊監(jiān)控 shell 命令
Auditbeat Audited 模塊可以用來監(jiān)控所有用戶在系統(tǒng)上執(zhí)行的 shell 命令。在終端用戶偶爾才會(huì)登錄的服務(wù)器上,通常需要進(jìn)行監(jiān)控。
該示例是在 CentOS Linux 7.6 上使用 Auditbeat 7.4.2 RPM 軟件包和 Elasticsearch Service(ESS)[https://www.elastic.co/products/elasticsearch/service]上的 Elastic Stack ] 7.4.2 部署的。

可以參考其中的思路,配置流程等,使用本機(jī)自建的ES,不使用Elasticsearch Service(ESS)集群

禁用 Auditd

系統(tǒng)守護(hù)進(jìn)程 auditd 會(huì)影響 Auditbeat Audited 模塊的正常使用,所以必須將其禁用。

# 停止 auditd:
service auditd stop
# 禁用服務(wù):
systemctl disable auditd.service

如果您在使用 Auditbeat Auditd 模塊的同時(shí)也必須要運(yùn)行 Audited 進(jìn)程,那么在內(nèi)核版本為 3.16 或者更高的情況下可以考慮設(shè)置 socket_type: multicast 參數(shù)。默認(rèn)值為 unicast。有關(guān)此參數(shù)的更多信息,請(qǐng)參見文檔[https://www.elastic.co/guide/en/beats/auditbeat/master/auditbeat-module-auditd.html#_configuration_options_14]的配置選項(xiàng)部分。

配置 Auditbeat

Auditbeat 守護(hù)進(jìn)程將事件數(shù)據(jù)發(fā)送到一個(gè) Elasticsearch Service(ESS)集群中。有關(guān)更多詳細(xì)信息,請(qǐng)參見文檔Auditbeat[https://www.elastic.co/guide/en/beats/auditbeat/master/configuring-howto-auditbeat.html]
中的配置部分。
要想獲取工作示例,必須配置 Auditbeat 的 cloud.id 和 cloud.auth 參數(shù),詳情參見此文檔[https://www.elastic.co/guide/en/beats/auditbeat/master/configure-cloud-id.html]。
編輯 /etc/auditbeat/auditbeat.yml:

cloud.id: <your_cloud_id>
cloud.auth: ingest_user:password

如果您要將數(shù)據(jù)發(fā)送到 Elasticsearch 集群(例如本地實(shí)例),請(qǐng)參見此文檔:[https://www.elastic.co/guide/en/beats/auditbeat/master/configure-cloud-id.html]。

Auditbeat 模塊規(guī)則

Audited 模塊訂閱內(nèi)核以接收系統(tǒng)事件。定義規(guī)則以捕獲這些事件,并且使用Linux Auditctl 進(jìn)程所使用的格式,詳情參見此文檔:[https://linux.die.net/man/8/auditctl]。

# cat /etc/auditbeat/audit.rules.d/rules.conf
-a exit,always -F arch=b64 -F euid=0 -S execve -k root_acct
-a exit,always -F arch=b32 -F euid=0 -S execve -k root_acct
-a exit,always -F arch=b64 -F euid>=1000 -S execve -k user_acct
-a exit,always -F arch=b32 -F euid>=1000 -S execve -k user_acct
  • euid 是用戶的有效ID。0 代表會(huì)獲取 root 用戶和 uid >=1000 或者權(quán)限更高的其他用戶的所有活動(dòng)。
  • -k 用于為事件分配任意“鍵”,它將顯示在 tags 字段中。它還可以在 Kibana 中用來對(duì)事件進(jìn)行過濾和分類。

Auditbeat 設(shè)置命令

運(yùn)行Auditbeat 加載索引模板,讀取 node pipelines,索引文件周期策略和Kibana 儀表板。
auditbeat -e setup
如果您不使用ESS,歡迎參考此文檔[https://www.elastic.co/guide/en/beats/auditbeat/current/setup-kibana-endpoint.html] 來設(shè)置您的 Kibana 端點(diǎn)。

開始使用

systemctl start auditbeat

# 列出啟用的規(guī)則:
auditbeat show auditd-rules
-a never,exit -S all -F pid=23617
-a always,exit -F arch=b64 -S execve -F euid=root -F key=root_acct
-a always,exit -F arch=b32 -S execve -F euid=root -F key=root_acct
-a always,exit -F arch=b64 -S execve -F euid>=vagrant -F key=user_acct
-a always,exit -F arch=b32 -S execve -F euid>=vagrant -F key=user_acct

監(jiān)控?cái)?shù)據(jù)

當(dāng)用戶執(zhí)行一些類似于 whoami,ls 以及 lsblk 的 shell 命令時(shí),kibana 中就會(huì)發(fā)現(xiàn)這些事件。

  • Kibana 會(huì)顯示出 user.name,process.executable,process.args 和 tags 這些選定的字段。
  • 過濾的字段是 user.name: root 和 auditd.data.syscall: execve。
  • 每秒刷新一次數(shù)據(jù)。

TTY 審計(jì)

當(dāng)系統(tǒng)中發(fā)生 TTY 事件時(shí),Auditbeat Audited 模塊也可以接收它們。配置system-auth PAM 配置文件以啟用 TTY。只有 root 用戶的 TTY 事件將被實(shí)時(shí)記錄。其他用戶的事件通常會(huì)被緩沖直到 exit。TTY 審計(jì)會(huì)捕獲系統(tǒng)內(nèi)置命令像pwd,test 等。
追加以下內(nèi)容到 /etc/pam.d/system-auth 便可以對(duì)所有用戶啟用審核,關(guān)于 pam_tty_audit 的詳細(xì)信息,參見此文檔:[https://linux.die.net/man/8/pam_tty_audit]。
session required pam_tty_audit.so enable=*

測試

$ sudo su -
Last login: Fri Nov 22 23:43:00 UTC 2019 on pts/0
$ helllloooo there!
-bash: helllloooo: command not found
$ exit

Kibana 發(fā)現(xiàn)

思考

Auditbeat 還可以做什么:

  • 當(dāng)一個(gè)文件在磁盤上更改(創(chuàng)建,更新或刪除)時(shí)可以發(fā)送事件,得益于 file_integrity 模塊,詳情參考此文檔:[https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-module-file_integrity.html]。
  • 通過 system 模塊發(fā)送有關(guān)系統(tǒng)的指標(biāo),詳情參考此文檔:[https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-module-system.html]。該鏈接還提供了 Auditbeat 的相關(guān)文檔,詳情參考此文檔:[https://www.elastic.co/guide/en/beats/auditbeat/current/index.html]。

文章轉(zhuǎn)載自:https://mp.weixin.qq.com/s/_-rtOq0KrzbatEVm2Yhsag

到此這篇關(guān)于使用 Auditbeat 模塊監(jiān)控 shell 命令的文章就介紹到這了,更多相關(guān)Auditbeat 模塊shell 命令內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • a10 config backup for aXAPI

    a10 config backup for aXAPI

    這篇文章主要介紹了Vincent yu 寫的一個(gè)a10 config backup for aXAPI version: 2.1 ,需要的朋友可以參考下
    2014-09-09
  • 使用shell來發(fā)tcp包的方法

    使用shell來發(fā)tcp包的方法

    今天小編就為大家分享一篇關(guān)于使用shell來發(fā)tcp包的方法,小編覺得內(nèi)容挺不錯(cuò)的,現(xiàn)在分享給大家,具有很好的參考價(jià)值,需要的朋友一起跟隨小編來看看吧
    2019-04-04
  • 利用shell創(chuàng)建文本菜單與窗口部件的方法

    利用shell創(chuàng)建文本菜單與窗口部件的方法

    這篇文章主要給大家介紹了關(guān)于利用shell創(chuàng)建文本菜單與窗口部件的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧。
    2017-11-11
  • Linux shell腳本編程if語句的使用方法(條件判斷)

    Linux shell腳本編程if語句的使用方法(條件判斷)

    這篇文章主要介紹了Linux shell腳本編程if語句的使用方法,大家參考使用吧
    2013-12-12
  • 如何使用date獲取時(shí)間戳

    如何使用date獲取時(shí)間戳

    這篇文章主要介紹了如何使用date獲取時(shí)間戳,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2023-08-08
  • Linux Shell 常見的命令行格式簡明總結(jié)

    Linux Shell 常見的命令行格式簡明總結(jié)

    這篇文章主要介紹了Linux Shell 常見的命令行格式簡明總結(jié),非常實(shí)用,需要的朋友可以參考下
    2014-04-04
  • 使用Bash Shell檢查文件是否存在的方法

    使用Bash Shell檢查文件是否存在的方法

    大多數(shù)情況下,可以使用測試命令來對(duì)條件進(jìn)行測試。比如可以比較字符串、判斷文件是否存在及是否可讀等等。下面這篇文章就主要介紹了使用Bash Shell檢查文件是否存在的方法,需要的朋友可以參考借鑒,下面來一起看看吧。
    2017-01-01
  • 根據(jù)公司需求寫的一個(gè)linux 巡檢小腳本

    根據(jù)公司需求寫的一個(gè)linux 巡檢小腳本

    這篇文章主要介紹了根據(jù)公司需求寫的一個(gè)linux 巡檢小腳本,可以用來檢查服務(wù)器的一些運(yùn)行狀況,需要的朋友可以參考下
    2017-04-04
  • Shell腳本配合iptables屏蔽來自某個(gè)國家的IP訪問

    Shell腳本配合iptables屏蔽來自某個(gè)國家的IP訪問

    這篇文章主要介紹了Shell腳本配合iptables屏蔽來自某個(gè)國家的IP訪問,本文利用IPdeny的IP數(shù)據(jù),然后用Shell腳本導(dǎo)入iptables實(shí)現(xiàn)屏蔽IP訪問,需要的朋友可以參考下
    2015-04-04
  • Shell中創(chuàng)建序列和數(shù)組(list、array)的方法

    Shell中創(chuàng)建序列和數(shù)組(list、array)的方法

    這篇文章主要介紹了Shell中創(chuàng)建序列和數(shù)組(list、array)的方法,本文講解了seq方法生成以及通過內(nèi)部{begin..end}生成法,需要的朋友可以參考下
    2015-07-07

最新評(píng)論