在Debian上使用Filebeat進行安全審計可按以下步驟操作:
-
安裝Filebeat
sudo apt update && sudo apt install filebeat
-
配置監控安全日志
編輯 /etc/filebeat/filebeat.yml�,指定安全日志路徑(如 /var/log/auth.log�����、/var/log/secure):
filebeat.inputs:
- type: log
paths:
- /var/log/auth.log
- /var/log/secure
-
輸出至Elasticsearch(需先安裝并運行ES)
output.elasticsearch:
hosts: ["localhost:9200"]
username: "elastic"
password: "your_password"
ssl.enabled: true
ssl.certificate: "/path/to/cert.pem"
ssl.key: "/path/to/key.pem"
-
增強安全性
- 最小權限運行:創建專用用戶并限制配置文件權限:
sudo adduser --system --no-create-home filebeat
sudo chown -R filebeat:filebeat /etc/filebeat
sudo chmod -R 750 /etc/filebeat
sudo -u filebeat filebeat -e
- 防火墻限制:僅允許本地訪問ES端口(如9200):
sudo ufw allow from 127.0.0.1 to any port 9200
sudo ufw reload
-
可視化與分析
通過Kibana創建儀表板�,監控登錄失敗�、異常授權等安全事件�����。
-
定期維護
- 更新Filebeat至最新版本以修復漏洞��。
- 監控Filebeat日志(
/var/log/filebeat/filebeat.log)及ES數據異常��。
關鍵安全點:通過TLS加密傳輸���、最小權限運行���、防火墻隔離及認證機制�����,確保審計數據的機密性和完整性���。
