在Elastic中存储SUDO日志文件

时间:2018-07-11 21:44:26

标签: elasticsearch sudo

我们想将所有sudo io日志文件存储在Elastic中。我们正在为其定义模式,但不确定如何为每个会话存储来自TTYIN,TTYOUT,STDIN,STDOUT和STDERR的数据。 我们认为这些文件中的每一个都是架构中的一列,每一行都由唯一的TSID(sudo会话ID)表示。 如何将TTYIN,TTYOUT,STDIN,STDOUT和STDERR中的数据解析并存储在ElasticSearch中? 从SUDO I / O日志记录角度看任何有关架构定义的指针都将有所帮助! 谢谢

1 个答案:

答案 0 :(得分:0)

看看Auditbeat,它使用Audited规则,可以将事件直接发送到Elasticsearch。

我认为您要配置的su / sudo规则如下(它们都将存储在密钥elevated-privs下):

-a always,exit -F arch=b64 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
-a always,exit -F arch=b32 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
-a always,exit -F arch=b64 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
-a always,exit -F arch=b32 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs
-a always,exit -F arch=b32 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs