CentOS如何利用Filebeat进行安全审计
导读:在 CentOS 上,用 Filebeat 做安全审计的核心思路是:采集关键安全日志,启用内置安全模块,必要时与 Elasticsearch/Kibana 联动做检测与可视化。 一、架构与组件选择 采集侧:在 CentOS 上安装 Fi...
在 CentOS 上,用 Filebeat 做安全审计的核心思路是:采集关键安全日志,启用内置安全模块,必要时与 Elasticsearch/Kibana 联动做检测与可视化。
一、架构与组件选择
- 采集侧:在 CentOS 上安装 Filebeat,用于读取本地日志文件并输出到 Elasticsearch 或 Logstash。
- 存储与分析侧:Elasticsearch 存储与检索,Kibana 做仪表盘与告警可视化。
- 审计范围:系统认证与授权(如 /var/log/secure)、命令执行与特权操作(配合 auditd)、以及应用或网络设备的 JSON 日志(如 Suricata eve.json)。
- 版本建议:保持 Elastic Stack 各组件版本一致,避免兼容性问题(如 7.3.x 系列)。
二、安装与快速落地配置
- 安装 Filebeat(CentOS 7/8 常用方式)
- 使用 YUM 安装:sudo yum install -y filebeat
- 或下载 RPM 安装:wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat--x86_64.rpm & & sudo rpm -ivh filebeat--x86_64.rpm
- 采集系统安全日志(认证/授权事件)
- 编辑 /etc/filebeat/filebeat.yml:
- filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/secure
- /var/log/messages fields: type: system_security
- type: log
enabled: true
paths:
- output.elasticsearch:
- hosts: [“elasticsearch:9200”]
- index: “centos-security-%{ +yyyy.MM.dd} ”
- filebeat.inputs:
- 编辑 /etc/filebeat/filebeat.yml:
- 启动与验证
- sudo systemctl start filebeat & & sudo systemctl enable filebeat
- sudo systemctl status filebeat
- Kibana 访问:http://:5601,创建索引模式并查看数据
- 说明
- 在 RHEL/CentOS 上,认证日志通常为 /var/log/secure;在 Debian/Ubuntu 上为 /var/log/auth.log,跨发行版采集时需注意路径差异。
三、启用内置安全模块与解析增强
- 启用 auditd 模块(采集内核/系统调用级审计日志)
- 启用模块:filebeat modules enable auditd
- 查看模块:filebeat modules list
- 说明:Filebeat 的 auditd 模块可直接读取并解析 /var/log/audit/audit.log,适合做细粒度行为审计(如文件访问、权限变更、命令执行等)。
- 解析与安全增强
- 使用 processors(如 dissect、grok)对半结构化日志进行字段化,便于检索与聚合。
- 示例(dissect 解析 key=value 日志):
- processors:
- dissect: tokenizer: “%{ timestamp} %{ level} %{ message} ” field: “message”
- processors:
- 输出到 Elasticsearch 时可按日期创建索引,便于生命周期管理。
四、与 Elasticsearch/Kibana 集成与可视化
- 输出到 Elasticsearch(基础)
- output.elasticsearch.hosts: [“elasticsearch:9200”]
- 建议开启索引生命周期管理(ILM)与模板,控制热/温/冷与保留周期。
- 安全传输与认证(生产必备)
- 启用 TLS/SSL:配置 ssl.enabled、ssl.certificate_authorities、ssl.certificate、ssl.key
- 启用 X-Pack 安全:配置 xpack.security.enabled、transport 与 http ssl、证书库路径等
- Kibana 可视化
- 访问 http://:5601,创建索引模式(如 centos-security-*),使用 Discover/Visualize/Dashboard 构建登录失败、sudo 提权、异常命令等审计面板。
- 扩展场景
- 采集 Suricata eve.json:Filebeat 解析并输出到 ES,Kibana 加载 Suricata 仪表盘,实现网络威胁可视化。
五、加固与运维要点
- 传输与访问控制
- 全链路启用 TLS/SSL,并为 Elasticsearch/Kibana/Filebeat 配置基于角色的访问控制(RBAC)。
- 仅开放必要端口(如 9200/9300/5601),并通过防火墙限制来源网段。
- 运行与合规
- 以 非 root 用户运行 Filebeat,最小化权限;定期更新版本获取安全补丁。
- 为审计数据配置 索引生命周期策略 与 备份,满足保留与取证需求。
- 审计深度建议
- 对关键主机启用 auditd 并调优规则(如监控 /etc/passwd、/etc/shadow、sudo 等),再用 Filebeat 模块采集,提升审计覆盖度与可溯源性。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: CentOS如何利用Filebeat进行安全审计
本文地址: https://pptw.com/jishu/774395.html