如何利用Debian Filebeat进行系统审计

在 Debian 上用 Filebeat 搭建系统审计

一 架构与准备

• 组件选型：在受审计主机部署 Filebeat 采集日志，推荐将日志输出到 Elasticsearch 存储并通过 Kibana 进行检索与可视化；也可先发送到 Logstash 做解析与增强后再入库。
• 审计范围：优先覆盖系统认证与授权事件（如 /var/log/auth.log）、内核与系统消息（如 /var/log/syslog、/var/log/kern.log），以及 Linux 审计框架 产生的 /var/log/audit/audit.log。
• 版本与源：以 Elastic Stack 8.x 为例，导入 GPG 并添加 APT 源后安装 Filebeat，便于获得最新模块与解析能力。

二 安装与基础配置

• 安装 Filebeat（Debian 11/12 示例）

  wget -O - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
  echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
  sudo apt-get update
  sudo apt-get install -y filebeat
  

• 启用系统审计模块（推荐）

  sudo filebeat modules enable system
  sudo filebeat modules enable auditd
  

• 编辑主配置 /etc/filebeat/filebeat.yml（精简示例）

  filebeat.inputs:
  - type: log
    paths:
      - /var/log/syslog
      - /var/log/auth.log
      - /var/log/kern.log
  
  filebeat.config.modules:
    path: ${
  path.config}
      /modules.d/*.yml
    reload.enabled: true
  
  output.elasticsearch:
    hosts: ["localhost:9200"]
    # 如启用安全功能，添加认证
    # username: "elastic"
    # password: "your_password"
  
  # 如需经由 Logstash 处理
  # output.logstash:
  #   hosts: ["localhost:5044"]
  

• 启动与自检

  sudo filebeat test config
  sudo systemctl enable --now filebeat
  sudo journalctl -u filebeat -f
  

上述配置覆盖了系统日志与认证日志的采集，并通过模块提供开箱即用的解析与仪表板。

三 审计场景与配置要点

• 认证与会话审计：采集 /var/log/auth.log，关注 sshd 的登录成功/失败、sudo 提权、PAM 事件等，用于发现暴力破解与异常提权。
• 内核与系统事件：采集 /var/log/kern.log、/var/log/syslog，用于发现内核告警、驱动加载、系统异常重启等。
• 内核审计日志：启用 auditd 模块并采集 /var/log/audit/audit.log，可记录系统调用、文件访问、用户身份切换等细粒度行为（需确保 auditd 服务已运行并配置规则）。
• 多行日志处理：对 Java 堆栈、内核 Oops 等多行事件，使用 multiline 将堆栈合并为单条事件，便于后续解析与展示。
• 数据增强与过滤：利用 processors（如 dissect、grok、drop_fields、rename）做字段解析、敏感字段脱敏与字段治理，减少噪声并提升检索效率。
• 索引与生命周期：结合 ILM（Index Lifecycle Management）管理热/温/冷阶段与保留策略，满足合规与成本控制。

四 可视化与告警

• Kibana 可视化：在 Kibana 中创建 Index Pattern（如 filebeat-*），使用 Discover 检索审计事件，并在 Dashboard 中使用或定制系统/认证/审计相关可视化面板，快速定位失败登录、异常 sudo、内核告警等。
• 告警示例：基于 Kibana Stack Management → Rules and Connectors 创建阈值或异常模式告警，例如“5 分钟内失败登录 > 10 次”“sudo 成功事件来自非常用用户”“auditd 关键系统调用突增”。

五 安全与运维加固

• 传输加密：为 Filebeat 与 Elasticsearch/Logstash 之间启用 TLS/SSL，防止审计数据在传输中被窃听或篡改。
• 认证与授权：开启 Elasticsearch 安全功能（用户名/密码或 API Key），为 Filebeat 配置最小权限角色，仅授予写入目标索引的必要权限。
• 配置与文件权限：限制 /etc/filebeat/filebeat.yml 的访问权限，避免泄露输出地址、凭证等敏感信息；仅启用必要的模块与功能。
• 运行账户与最小权限：以 非 root 用户运行 Filebeat，遵循最小权限原则。
• 高可用与扩展：多主机部署时统一采集规范，必要时通过 Logstash 集中处理与转发，便于横向扩展与统一治理。
• 监控与更新：持续监控 Filebeat 自身日志与运行状态，保持版本与规则库更新，定期审计配置合规性。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！