1. 安装与基础配置
首先在目标系统(如CentOS、Debian)上安装Filebeat,可通过官方YUM/APT仓库或RPM/DEB包安装(例如CentOS使用sudo rpm -ivh filebeat-7.14.0-x86_64.rpm,Debian使用sudo apt-get install filebeat)。安装完成后,编辑核心配置文件/etc/filebeat/filebeat.yml,定义日志采集路径(如安全相关的/var/log/secure、/var/log/auth.log或/var/log/audit/audit.log)、输出目标(如Elasticsearch的hosts地址)及索引命名规则(如security-logs-%{yyyy.MM.dd}),确保Filebeat能准确收集安全日志。
2. 监控关键安全日志文件
聚焦系统/应用的安全日志,通过filebeat.inputs配置捕获关键事件:
/var/log/secure(CentOS)或/var/log/auth.log(Debian),记录用户登录、sudo使用、SSH连接等事件;paths: - /var/log/audit/audit.log,捕获更细粒度的权限变更、文件访问等事件;/var/log/nginx/error.log、/var/log/mysql/error.log),监控应用层的异常访问。3. 启用传输与存储安全
filebeat.yml中配置:output.elasticsearch:
hosts: ["https://elasticsearch-host:9200"]
username: "elastic" # 若启用X-Pack安全
password: "your_password"
ssl.certificate_authorities: ["/path/to/ca.crt"]
ssl.certificate: "/path/to/filebeat.crt"
ssl.key: "/path/to/filebeat.key"
elastic用户),确保只有授权的Filebeat实例能发送数据。4. 利用模块简化安全审计配置
Filebeat内置auditd模块(针对Linux审计日志)和系统模块(针对系统日志),可快速解析、增强日志并生成预定义仪表板:
sudo filebeat modules enable auditd
/etc/filebeat/modules.d/auditd.yml,配置日志路径和字段映射(如将type设为auditd),模块会自动解析审计日志中的关键字段(如user_name、event_type、object_path);sudo filebeat modules enable system
/etc/filebeat/modules.d/system.yml,监控系统日志并提取安全相关事件(如sshd、sudo模块)。5. 日志分析与可视化(Kibana集成)
将Filebeat收集的日志发送到Elasticsearch后,通过Kibana进行安全审计分析:
security-logs-*),创建索引模式;6. 强化自身安全性
elkuser)运行Filebeat,避免以root身份启动(sudo useradd -r -s /sbin/nologin elkuser,修改filebeat.yml中的run_as_user为elkuser);filebeat.yml的访问权限(sudo chmod 600 /etc/filebeat/filebeat.yml),防止未经授权的修改;
