Elastic Stackのひとつである、beatシリーズのautitbeatをCentOS7にインストールして監査ログの取得をしてみます。
監査ログではログインの履歴などセキュリティに関するログなどが確認できます。
auditbeatのインストール
まず、auditbeatのインストールを行います。
1 2 3 |
# yum -y install auditbeat |
次に設定設定ファイルの変更です。
変更部分はkibanaとElasticsearchに関する部分の変更を行います。
1 2 3 4 5 6 7 8 9 10 11 12 13 |
vi /etc/auditbeat/auditbeat.yml ----------以下を変更 #============================== Kibana ===================================== setup.kibana: host: "ホスト名:5601" #-------------------------- Elasticsearch output ------------------------------ output.elasticsearch: hosts: ["ホスト名:9200"] ---------- |
次に起動関連のファイルを設定します。
1 2 3 4 5 |
# systemctl daemon-reload # systemctl enable auditbeat.service # systemctl start auditbeat.service |
kibanaのダッシュボードでデータの確認をするために以下のコマンドを実施します。
1 2 3 |
# auditbeat setup -e |
無事動いているかログの確認をしてみます。
1 2 3 4 5 6 7 8 9 |
# cd /var/log/auditbeat # tail -f auditbeat ・ ・ (中略) ・ 2018-11-22T22:24:07.693+0900 INFO instance/beat.go:357 auditbeat stopped. 2018-11-22T22:24:07.694+0900 ERROR instance/beat.go:800 Exiting: 1 error: 1 error: failed to unpack the auditd config: 1 error: failed loading rules: 3 errors: at /etc/auditbeat/audit.rules.d/sample-rules-linux-64bit.conf:14: rule '-w /etc/group -p wa -k identity' is a duplicate of '-w /etc/group -p wa -k identity' at /etc/auditbeat/audit.rules.d/sample-rules-linux-32bit.conf:8; at /etc/auditbeat/audit.rules.d/sample-rules-linux-64bit.conf:15: rule '-w /etc/passwd -p wa -k identity' is a duplicate of '-w /etc/passwd -p wa -k identity' at /etc/auditbeat/audit.rules.d/sample-rules-linux-32bit.conf:9; at /etc/auditbeat/audit.rules.d/sample-rules-linux-64bit.conf:16: rule '-w /etc/gshadow -p wa -k identity' is a duplicate of '-w /etc/gshadow -p wa -k identity' at /etc/auditbeat/audit.rules.d/sample-rules-linux-32bit.conf:10 accessing 'auditbeat.modules.0' (source:'/etc/auditbeat/auditbeat.yml') |
エラーが出ています。
32bit-OSのファイルを読み込んでいるので起動に失敗してしまいました。
そちらのファイルの退避を行います。
1 2 3 |
# mv /etc/auditbeat/audit.rules.d/sample-rules-linux-32bit.conf /etc/auditbeat/audit.rules.d/sample-rules-linux-32bit.conf.disabled |
再起動を行います。
1 2 3 |
# systemctl start auditbeat.service |
こちらで無事Elasticsearchにログが転送されました。
このブログは株式会社CoLabMixによる技術ブログです。
GCP、AWSなどでのインフラ構築・運用や、クローリング・分析・検索などを主体とした開発を行なっています。
Ruby on RailsやDjango、Pythonなどの開発依頼などお気軽にお声がけください。
開発パートナーを増やしたいという企業と積極的に繋がっていきたいです。