如何使用Filebeat进行安全审计

使用 Filebeat 进行安全审计的落地方案

一 架构与原则

• 明确审计范围：聚焦系统认证与授权事件（如登录、sudo、SSH）、关键应用与数据库的访问行为，以及主机与网络层面的异常迹象。
• 采集路径选择：优先使用 Filebeat 模块（内置解析与仪表板）覆盖常见日志；对特殊格式或自定义应用，使用 Logstash 或 Ingest Pipeline 做二次解析与丰富。
• 传输与存储：全程启用 TLS 加密 与 认证，遵循 最小权限 与 网络隔离，并对配置与密钥实施严格权限控制与轮换。
• 可视化与告警：在 Kibana 建立索引模式、仪表板与阈值告警，覆盖失败登录、权限提升、异常来源等高风险场景。

二 安装与快速配置

• 安装 Filebeat（示例）
  • CentOS/RHEL：sudo yum install -y filebeat
  • Debian/Ubuntu：sudo apt-get update && sudo apt-get install -y filebeat
• 启用安全审计模块
  • 启用模块：sudo filebeat modules enable auditd
  • 按需调整模块配置（/etc/filebeat/modules.d/auditd.yml），然后加载索引与仪表板：sudo filebeat setup -e
• 输出到 Elasticsearch（示例，启用认证与 TLS）
  • 编辑 /etc/filebeat/filebeat.yml：
    • output.elasticsearch.hosts: [“es-host:9200”]
    • output.elasticsearch.username: “filebeat_writer”
    • output.elasticsearch.password: “<your_password>”
    • output.elasticsearch.ssl.enabled: true
    • output.elasticsearch.ssl.certificate_authorities: [“/etc/pki/root-ca.pem”]
• 启动与验证
  • sudo systemctl enable --now filebeat
  • sudo systemctl status filebeat
  • 在 Kibana（http://kibana-host:5601）创建索引模式（如 filebeat-*），打开 Auditd 仪表板查看事件。

三 关键日志源与采集要点

四 安全加固与合规

• 加密与认证
  • 开启 TLS/SSL（证书校验、禁用不安全套件），为 Elasticsearch 与 Kibana 启用 用户名/密码或 API Key，Filebeat 侧配置对应凭据。
• 最小权限与凭据治理
  • 为 Filebeat 创建 最小权限 专用角色（仅允许写入目标索引、创建/读取索引模板与管道），凭据存入 Vault/KMS 或受控配置管理，定期轮换。
• 网络与系统防护
  • 通过 防火墙/安全组 仅放通必要端口（如 5044 到 Logstash、9200 到 Elasticsearch），部署在 隔离网络/VPC，限制横向移动。
• 文件与进程安全
  • 配置文件与密钥权限最小化（如 600），禁止明文密码；启用 systemd 私有临时目录与只读根文件系统（容器场景），定期更新 Filebeat 与依赖组件。

五 验证与运营

• 端到端验证
  • 在源主机触发可观测事件（如 SSH 登录失败、sudo 提权），在 Kibana Discover 检索对应索引，确认字段解析正确（如 event.type、user.name、source.ip、process.name）。
• 指标与告警
  • 基于 failed login、privilege escalation、unusual source IP 等建立阈值或异常检测告警；结合 Kibana 仪表板 持续观察趋势与峰值。
• 维护与扩展
  • 定期审查 Filebeat 与模块配置、证书有效期与密钥轮换策略；新增业务日志时优先复用模块或在 Ingest Pipeline/Logstash 中沉淀解析规则，保证一致性与可维护性。