AS
это Аудитбит?
Size: a a a
2020 December 04
AS
он через auditd собирает?
HT
это Аудитбит?
+
HT
он через auditd собирает?
+
IB
он через auditd собирает?
Нет. Там встроенный аналог аудитд есть
HT
Нет. Там встроенный аналог аудитд есть
не совсем верно, там есть свои события старта процесса, а есть события от auditd
HT
прямо в конфиге auditbeat определяются правила auditd
HT
для неверующих кину картинку
AS
Ок, надеюсь он не сильно на Еластик завязан, думаю в любом случан можно все в спланк запихать...
IB
не совсем верно, там есть свои события старта процесса, а есть события от auditd
Верно)) он не использует данные системной службы аудитд, а самостоятельно собирает данные
HT
Верно)) он не использует данные системной службы аудитд, а самостоятельно собирает данные
да, понял что вы имеете ввиду. демон auditd он не использует, но садится на события audit от ядра
IB
да, понял что вы имеете ввиду. демон auditd он не использует, но садится на события audit от ядра
:)
HT
Ок, надеюсь он не сильно на Еластик завязан, думаю в любом случан можно все в спланк запихать...
он умеет в кафку/logstash отдавать
HT
поэтому отроутить события можете как угодно и куда угодно
HT
события в json-е
AS
и я вас понял, система похожа на ThreatStack
tn
Год назад пробовал auditbeat. Были проблемы с поддержкой ОС. Где-то работает, где-то нет.
i♓
события в json-е
и клеит "куски-сообщения" в одно json-событие?
IB
temiko n
Год назад пробовал auditbeat. Были проблемы с поддержкой ОС. Где-то работает, где-то нет.
В линуксе работает, в Винде нет))
HT
В линуксе работает, в Винде нет))
для винды winlogbeat