Install and Configure Auditbeat

Table of Contents

Auditbeat adalah salah satu dari anggota beats family yang dipasang sebagai agent di server Anda. Auditbeat digunakan untuk mengaudit aktivitas user dan proses yang ada di sistem serta dapat mendeteksi perubahan pada file penting seperti biner dan file konfigurasi.

Sebelum memulai Anda memerlukan Elastic Stack seperti Elasticsearch untuk menyimpan dan mencari data, dan Kibana untuk memvisualisasikan dan mengelolanya.

Install Auditbeat
#

Install Auditbeat di server yang ingin Anda monitor.

Gunakan perintah berikut untuk mengunduh dan menginstall Auditbeat

curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.11.1-x86_64.rpm
sudo rpm -vi auditbeat-8.11.1-x86_64.rpm

Connect to the Elastic Stack
#

Konfigurasikan auditbeat.yml agar dapat terhubung ke Elasticsearch dan Kibana.

setup.template.settings:
  index.number_of_shards: 1

output.elasticsearch:
  hosts: ["https://myEShost:9200"]
  username: "auditbeat_internal"
  password: "YOUR_PASSWORD" 
  ssl:
    enabled: true
    ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"

setup.kibana:
    host: "mykibanahost:5601" 
    username: "my_kibana_user"  
    password: "{pwd}"

Configure data collection modules
#

Auditbeat menggunakan modul untuk mengumpulkan informasi audit.

Contoh berikut merupakan penggunaan beberapa modul yang dikonfigurasi pada auditbeat.yml.

auditbeat.modules:

- module: auditd
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

- module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

- module: system
  datasets:
    - host
    - login
    - package
    - user
  period: 1m

- module: system
  datasets:
    - process
    - socket
  period: 1s

  state.period: 12h

  user.detect_password_changes: true

  login.wtmp_file_pattern: /var/log/wtmp*
  login.btmp_file_pattern: /var/log/btmp*