Install and Configure Auditbeat

Auditbeat adalah salah satu dari anggota beats family yang dipasang sebagai agent di server Anda. Auditbeat digunakan untuk mengaudit aktivitas user dan proses yang ada di sistem serta dapat mendeteksi perubahan pada file penting seperti biner dan file konfigurasi.

Sebelum memulai Anda memerlukan Elastic Stack seperti Elasticsearch untuk menyimpan dan mencari data, dan Kibana untuk memvisualisasikan dan mengelolanya.

Install Auditbeat

Install Auditbeat di server yang ingin Anda monitor.

Gunakan perintah berikut untuk mengunduh dan menginstall Auditbeat

curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-8.11.1-x86_64.rpm
sudo rpm -vi auditbeat-8.11.1-x86_64.rpm

Connect to the Elastic Stack

Konfigurasikan auditbeat.yml agar dapat terhubung ke Elasticsearch dan Kibana.

setup.template.settings:
  index.number_of_shards: 1

output.elasticsearch:
  hosts: ["https://myEShost:9200"]
  username: "auditbeat_internal"
  password: "YOUR_PASSWORD" 
  ssl:
    enabled: true
    ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"

setup.kibana:
    host: "mykibanahost:5601" 
    username: "my_kibana_user"  
    password: "{pwd}"

Configure data collection modules

Auditbeat menggunakan modul untuk mengumpulkan informasi audit.

Contoh berikut merupakan penggunaan beberapa modul yang dikonfigurasi pada auditbeat.yml.

auditbeat.modules:

- module: auditd
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

- module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

- module: system
  datasets:
    - host
    - login
    - package
    - user
  period: 1m

- module: system
  datasets:
    - process
    - socket
  period: 1s

  state.period: 12h

  user.detect_password_changes: true

  login.wtmp_file_pattern: /var/log/wtmp*
  login.btmp_file_pattern: /var/log/btmp*

Test konfigurasi auditbeat untuk memastikan tidak ada kesalahan file konfigurasi.

auditbeat test config -e

Set up assets

Auditbeat dilengkapi dengan assets bawaan untuk parsing, indexing, dan visualizing data Anda.

Untuk menerapkannya gunakan perintah berikut.

auditbeat setup -e

Start Auditbeat

Start service auditbeat untuk memulai pengumpulan data.

systemctl start auditbeat

Cek dashboard Kibana untuk memastikan data sudah masuk