前提條件

您已完成以下操作：

• 創(chuàng)建阿里云Elasticsearch實(shí)例。

  詳情請(qǐng)參見(jiàn)創(chuàng)建阿里云Elasticsearch實(shí)例。

• 開(kāi)啟阿里云ES實(shí)例的自動(dòng)創(chuàng)建索引功能。

  出于安全考慮，阿里云ES默認(rèn)不允許自動(dòng)創(chuàng)建索引。但是Beats目前依賴該功能，因此如果采集器Output選擇為Elasticsearch，需要開(kāi)啟自動(dòng)創(chuàng)建索引功能，詳情請(qǐng)參見(jiàn)快速訪問(wèn)與配置。

• 創(chuàng)建阿里云ECS實(shí)例，且該ECS實(shí)例與阿里云ES實(shí)例處于同一專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）下。

  詳情請(qǐng)參見(jiàn)自定義購(gòu)買實(shí)例。

  重要

  Beats目前僅支持Alibaba Cloud Linux (Alinux）、RedHat和CentOS這三種操作系統(tǒng)。

• 在目標(biāo)ECS實(shí)例上安裝云助手和Docker服務(wù)。

  詳情請(qǐng)參見(jiàn)安裝云助手客戶端和部署并使用Docker（Alibaba Cloud Linux 2）。

操作步驟

1. 登錄阿里云Elasticsearch控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，單擊Beats數(shù)據(jù)采集中心。

3. 在創(chuàng)建采集器區(qū)域中，單擊Auditbeat。

4. 安裝并配置采集器。

   詳情請(qǐng)參見(jiàn)采集ECS服務(wù)日志和采集器YML配置，本文使用的配置如下。

   說(shuō)明

   • 勾選啟用Monitoring，系統(tǒng)會(huì)在Kibana控制臺(tái)開(kāi)啟Auditbeat服務(wù)的監(jiān)控。

   • 勾選啟用Kibana Dashboard，系統(tǒng)會(huì)在Kibana控制臺(tái)中生成圖表，無(wú)需額外配置Yml。由于阿里云Kibana配置在VPC內(nèi)，因此需要先在Kibana配置頁(yè)面開(kāi)通Kibana私網(wǎng)訪問(wèn)功能，詳情請(qǐng)參見(jiàn)配置Kibana公網(wǎng)或私網(wǎng)訪問(wèn)白名單。

   本文使用默認(rèn)的auditbeat.yml配置文件，無(wú)需更改。相關(guān)模塊配置說(shuō)明如下：

   • Auditd模塊配置

     - module: auditd
       # Load audit rules from separate files. Same format as audit.rules(7).
       audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
       audit_rules: |

     • audit_rule_files：指定加載的審計(jì)規(guī)則文件，支持通配符，默認(rèn)提供了32位和64位兩種，請(qǐng)根據(jù)您的系統(tǒng)選擇其一。

     • audit_rules：定義審計(jì)規(guī)則?？蛇B接ECS，執(zhí)行./auditbeat show auditd-rules命令，查看默認(rèn)的審計(jì)規(guī)則。

       -a never,exit -S all -F pid=26253
       -a always,exit -F arch=b32 -S all -F key=32bit-abi
       -a always,exit -F arch=b64 -S execve,execveat -F key=exec
       -a always,exit -F arch=b64 -S connect,accept,bind -F key=external-access
       -w /etc/group -p wa -k identity
       -w /etc/passwd -p wa -k identity
       -w /etc/gshadow -p wa -k identity
       -a always,exit -F arch=b64 -S open,truncate,ftruncate,create,openat,open_by_handle_at -F exit=-EACCES -F key=access
       -a always,exit -F arch=b64 -S open,truncate,ftruncate,create,openat,open_by_handle_at -F exit=-EPERM -F key=access

       說(shuō)明

       一般情況下默認(rèn)規(guī)則就可以滿足審計(jì)需求。如果需要自定義審計(jì)規(guī)則，可修改audit.rules.d目錄下的審計(jì)規(guī)則文件。

   • File Integrity模塊配置

     - module: file_integrity
       paths:
       - /bin
       - /usr/bin
       - /sbin
       - /usr/sbin
       - /etc

     paths：指定被監(jiān)控文件的路徑，默認(rèn)監(jiān)控的路徑包括/bin、/usr/bin、/sbin、/usr/sbin、/etc。

5. 選擇采集器安裝的ECS實(shí)例。

   

6. 啟動(dòng)并查看采集器安裝情況。

   1. 單擊啟動(dòng)。

      啟動(dòng)成功后，系統(tǒng)彈出啟動(dòng)成功對(duì)話框。

   2. 單擊前往采集中心查看，返回Beats數(shù)據(jù)采集中心頁(yè)面，在采集器管理區(qū)域中，查看啟動(dòng)成功的Auditbeat采集器。

   3. 等待采集器狀態(tài)變?yōu)?b data-tag="uicontrol" id="uicontrol-k8q-ivi-ve0" class="uicontrol">已生效1/1后，單擊右側(cè)操作欄下的查看運(yùn)行實(shí)例。

   4. 在查看運(yùn)行實(shí)例頁(yè)面，查看采集器安裝情況，當(dāng)顯示為心跳正常時(shí)，說(shuō)明采集器安裝成功。

      

查看結(jié)果

1. 登錄目標(biāo)阿里云ES實(shí)例的Kibana控制臺(tái)。

   登錄控制臺(tái)的具體步驟請(qǐng)參見(jiàn)登錄Kibana控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，單擊Discover，選擇預(yù)定義的auditbeat-*模式，并選擇一個(gè)時(shí)間段，查看對(duì)應(yīng)時(shí)間段內(nèi)的Auditbeat收集的數(shù)據(jù)。

   

3. 在左側(cè)導(dǎo)航欄，單擊Dashboard。

4. 在Dashboard列表中，單擊[Auditbeat File Integrity] Overview，然后選擇一個(gè)時(shí)間段，查看該時(shí)間段內(nèi)監(jiān)控文件的更改情況。