Я настраиваю инструмент системного аудита (wazuh) для отслеживания команд, выполняемых пользователями на нескольких серверах.
Этот стек использует audd -> wazuh -> filebeat -> logstash -> Elastic -> Kibana для визуализации журналов. Все конфиги Wazuh предоставлены конфиги.
Установка прошла успешно, и я могу перечислить выполненные команды, но в kibana указан только идентификатор пользователя, а не имя пользователя. По умолчанию в аудит выводятся только идентификаторы пользователей.
Я изменил ведение журнала на ENRICHED в настройках audd, и теперь его имя пользователя для печати добавлено в существующий журнал.
В настоящее время мне нужна помощь в следующих двух вариантах.
- Я мог видеть несколько полей по умолчанию (data.audit.auid), уже созданных для userID с помощью wazuh, я должен отредактировать его, чтобы выбрать имя пользователя, а не userID. Не могу найти, где генерируются текущие поля,
в настоящее время data.audit.auid = 1000
Должен быть указан как data.audit.auid = TestUser
- В противном случае создайте новое поле с именем пользователя. Не уверен, где именно создать.
Извините, если вопрос выглядит пустым. Я новичок в этом стеке и ничего из этого не могу понять.
Бревно, отправленное в Кибану с аудитом.
type=SYSCALL msg=audit(1562234569.1538:16341): arch=c000003e syscall=91 success=yes exit=0 a0=560a6482ec50 a1=560a88742ecd0 a2=560a69407960 a3=560a693f1010 items=2 ppid=6648 pid=22896 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=16 comm="date" exe="/bin/date" key="audit-wazuh-c"ARCH=x86_64 SYSCALL=execve AUID="ubuntu" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root" type=EXECVE