Auditbeat + BigQuery + tableau で監査ログを視覚化する
概要
Auditbeat 試しのついでに BigQuery に流して tableau で視覚化してみた。
ElasticStack 版はこちら
環境
- Google Cloud Platform
- CentOS 7
- auditbeat-6.0.0-rc1
- google-fluentd
やること
Auditbeat -> Stackdriver Logging -> bigquery にエクスポート -> tableau で見る
インストール
google-fluentd
# curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
# bash install-logging-agent.sh
Auditbeat
# yum -y install https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-x86_64.rpm
設定
google-fluentd
fluent-plugin-beats インストール
# /opt/google-fluentd/embedded/bin/fluent-gem install fluent-plugin-beats --no-document
beats input 設定
# vi /etc/google-fluentd/config.d/beats.conf
<source>
@type beats
tag beats.event
</source>
Auditbeat
システムコールの監査記録も取得するようにする。
fluentd に投げるようにする。
# vi /etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
#output.elasticsearch:
#hosts: ["localhost:9200"]
output.logstash:
hosts: ["localhost:5044"]
起動
各種起動する。
# systemctl stop auditd ※
# /etc/init.d/google-fluentd restart
# /etc/init.d/auditbeat start
※CentOS 7 の場合は、auditbeat と競合するので停止する
BigQuery にエクスポート
以下でフィルタ
resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"
エクスポート作成より、BigQueryデータセット作成して選択
BigQuery 側で確認
tableau ダッシュボード作成
Kibana のダッシュボードっぽいのを作ってみる
※データソース設定の際は 'レガシーSQLの使用' にチェック入れないとエラーになった
Author And Source
この問題について(Auditbeat + BigQuery + tableau で監査ログを視覚化する), 我々は、より多くの情報をここで見つけました https://qiita.com/quickguard/items/8c542b2dca687573ac0b著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .