如何在CentOS上使用Filebeat进行安全审计

在CentOS上使用Filebeat进行安全审计的步骤如下：

1. 安装Filebeat

   • 通过RPM包安装：wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.14.0-x86_64.rpm，然后执行sudo rpm -ivh filebeat-7.14.0-x86_64.rpm。
   • 或使用YUM安装：sudo yum install filebeat -y。

2. 配置Filebeat

   • 编辑配置文件/etc/filebeat/filebeat.yml：
     • 指定监控路径：paths: ["/var/log/secure", "/var/log/auth.log"]（安全相关日志路径）。
     • 设置输入类型：input_type: log。
     • 启用SSL/TLS加密：配置ssl.certificate、ssl.key等参数。
     • 添加Elasticsearch认证（若启用X-Pack）：username、password及证书路径。
   • 示例配置片段：

     filebeat.inputs:  
     - type: log  
       enabled: true  
       paths: ["/var/log/secure"]  
     output.elasticsearch:  
       hosts: ["https://localhost:9200"]  
       ssl.enabled: true  
       ssl.certificate_authorities: ["/etc/filebeat/certs/ca.crt"]  
     

3. 启动服务并设置开机自启

   sudo systemctl daemon-reload  
   sudo systemctl enable filebeat.service  
   sudo systemctl start filebeat.service  
   

4. 安全增强配置

   • 以非特权用户运行：创建elkuser用户，修改Filebeat服务文件指定用户。
   • 配置防火墙：限制Filebeat端口（如5601）的访问IP。
   • 禁用SELinux（测试环境）：sudo setenforce 0，并修改/etc/selinux/config。

5. 日志分析与可视化

   • 通过Kibana创建仪表板，监控登录失败、异常访问等安全事件。

6. 定期维护

   • 更新Filebeat至最新版本，修复安全漏洞。
   • 监控Filebeat运行状态及日志，及时处理异常。

关键安全配置：优先启用SSL/TLS加密传输、使用非特权用户、限制网络访问权限，确保数据传输和存储的安全性。