我设置了系统审核工具(wazuh),以跟踪由多台服务器中的用户执行的命令。
此堆栈使用auditd-> wazuh-> filebeat-> logstash-> Elastic-> Kibana来可视化日志。所有配置都是Wazuh提供的配置。
安装成功,我能够列出执行的命令,但是kibana仅列出用户ID,而不列出用户名。默认情况下,审核仅列出用户ID。
我将审核后的配置中的日志记录更改为ENRICHED,现在,它的打印用户名在现有日志中另外显示。
目前,我需要以下两个选项的帮助。
当前data.audit.auid = 1000 应该列为data.audit.auid = TestUser
很抱歉,这个问题看起来很假。我完全是这个堆栈的新手,无法从中找出任何东西。
日志已从auditd发送到Kibana。
type=SYSCALL msg=audit(1562234569.1538:16341): arch=c000003e syscall=91 success=yes exit=0 a0=560a6482ec50 a1=560a88742ecd0 a2=560a69407960 a3=560a693f1010 items=2 ppid=6648 pid=22896 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=16 comm="date" exe="/bin/date" key="audit-wazuh-c"ARCH=x86_64 SYSCALL=execve AUID="ubuntu" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root" type=EXECVE