All Products
Search

This Product

    Elasticsearch:Gunakan Auditbeat untuk audit sistem dan pemantauan file

    Document Center

    Elasticsearch:Gunakan Auditbeat untuk audit sistem dan pemantauan file

    Last Updated:Jun 16, 2026

    Topik ini menjelaskan cara menggunakan Auditbeat untuk mengumpulkan data dari framework audit Linux, memantau perubahan pada sistem file, dan membuat visualisasi data.

    Latar Belakang

    Auditbeat adalah shipper ringan yang mengumpulkan data dari framework audit Linux dan memantau integritas file. Anda dapat menggunakannya untuk mengumpulkan serta memusatkan event audit, mendeteksi perubahan pada file penting seperti binary dan file konfigurasi, serta mengidentifikasi potensi pelanggaran kebijakan keamanan. Auditbeat menghasilkan data terstruktur standar yang mudah dianalisis dan terintegrasi secara mulus dengan Logstash, Elasticsearch, dan Kibana.

    Auditbeat mendukung dua modul:

    • Auditd

      Modul Auditd menerima event audit dari framework audit Linux, yang merupakan bagian dari kernel Linux. Modul ini berlangganan ke kernel untuk menerima event secara real time. Untuk informasi lebih lanjut, lihat dokumentasi resmi Auditd.

      Penting

      Saat menjalankan Auditbeat dengan modul Auditd diaktifkan, alat pemantauan lain mungkin mengganggu Auditbeat. Misalnya, jika proses lain seperti auditd terdaftar untuk menerima data dari framework audit Linux, error dapat terjadi. Jika hal ini terjadi, hentikan proses yang bertentangan dengan perintah service auditd stop.

    • File Integrity

      Modul File Integrity memantau perubahan file di direktori tertentu secara real time. Modul ini memerlukan kernel Linux yang mendukung inotify. Kernel versi 2.6.13 dan yang lebih baru telah menyertakan dukungan inotify. Untuk informasi lebih lanjut, lihat dokumentasi resmi File Integrity.

      Catatan

      Modul System resmi Auditbeat bersifat eksperimental dan dapat berubah atau dihapus di versi mendatang. Oleh karena itu, penggunaannya di lingkungan produksi tidak disarankan. Untuk informasi lebih lanjut tentang modul tersebut, lihat modul.

    Prasyarat

    • Buat kluster Alibaba Cloud Elasticsearch.

      Untuk informasi lebih lanjut, lihat Buat kluster Alibaba Cloud Elasticsearch.

    • Aktifkan fitur Auto Indexing untuk kluster Alibaba Cloud Elasticsearch Anda.

      Karena alasan keamanan, Alibaba Cloud Elasticsearch menonaktifkan Auto Indexing secara default. Namun, Beats saat ini bergantung pada fitur ini. Jika Anda mengatur Output ke Elasticsearch, Anda harus mengaktifkan fitur Auto Indexing. Untuk informasi lebih lanjut, lihat Akses dan konfigurasi kluster.

    • Buat instans ECS yang berada dalam Virtual Private Cloud (VPC) yang sama dengan kluster Alibaba Cloud Elasticsearch.

      Untuk informasi lebih lanjut, lihat Buat instans menggunakan wizard.

      Penting

      Beats saat ini hanya mendukung sistem operasi berikut: Alibaba Cloud Linux (Alinux), Red Hat, dan CentOS.

    • Instal Cloud Assistant dan layanan Docker pada instans ECS target.

      Untuk informasi lebih lanjut, lihat Instal client Cloud Assistant dan Deploy dan gunakan Docker (Alibaba Cloud Linux 2).

    Prosedur

    1. Masuk ke Konsol Alibaba Cloud Elasticsearch.

    2. Di panel navigasi sebelah kiri, klik Beats Data Shippers.

    3. Di bagian Create Shipper, klik Auditbeat.

    4. Instal dan konfigurasi shipper.

      Untuk informasi lebih lanjut, lihat Kumpulkan log layanan ECS menggunakan Filebeat dan Konfigurasi YML Shipper. Konfigurasi yang digunakan dalam topik ini dijelaskan di bawah.配置Auditbeat采集器

      Catatan

      • Pilih Enable Kibana Monitoring. Ini mengaktifkan pemantauan untuk layanan Auditbeat di Konsol Kibana.

      • Pilih Enable Kibana Dashboard. Sistem kemudian akan menghasilkan grafik di Konsol Kibana tanpa memerlukan konfigurasi YML tambahan. Karena Alibaba Cloud Kibana dikonfigurasi dalam VPC, Anda harus terlebih dahulu mengaktifkan Akses Jaringan Pribadi untuk Kibana di halaman konfigurasi Kibana. Untuk informasi lebih lanjut, lihat Terhubung ke kluster menggunakan Kibana.

      Topik ini menggunakan file konfigurasi auditbeat.yml default tanpa modifikasi. Konfigurasi modul dijelaskan di bawah:

      • Konfigurasi modul Auditd

        - module: auditd
  # Load audit rules from separate files. Same format as audit.rules(7).
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

        • audit_rule_files: Menentukan file aturan audit yang akan dimuat. Wildcard didukung. Secara default, file untuk sistem 32-bit dan 64-bit disediakan. Pilih yang sesuai dengan sistem operasi Anda.

        • audit_rules: Menentukan aturan audit. Anda dapat terhubung ke instans ECS dan menjalankan perintah ./auditbeat show auditd-rules untuk melihat aturan audit default.

          -a never,exit -S all -F pid=26253
-a always,exit -F arch=b32 -S all -F key=32bit-abi
-a always,exit -F arch=b64 -S execve,execveat -F key=exec
-a always,exit -F arch=b64 -S connect,accept,bind -F key=external-access
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-a always,exit -F arch=b64 -S open,truncate,ftruncate,create,openat,open_by_handle_at -F exit=-EACCES -F key=access
-a always,exit -F arch=b64 -S open,truncate,ftruncate,create,openat,open_by_handle_at -F exit=-EPERM -F key=access
          Catatan

          Aturan default sudah cukup untuk sebagian besar kebutuhan audit. Jika Anda perlu menggunakan aturan audit kustom, Anda dapat memodifikasi file aturan di direktori audit.rules.d.

      • Konfigurasi modul File Integrity

        - module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

        paths: Menentukan path yang akan dipantau. Path default mencakup /bin, /usr/bin, /sbin, /usr/sbin, dan /etc.

    5. Pilih instans ECS tempat shipper akan diinstal.

    6. Jalankan shipper dan periksa status instalasinya.

      1. Klik Start.

        Setelah shipper dijalankan, kotak dialog Start Shipper akan muncul.

      2. Klik Back to Beats Shippers untuk kembali ke halaman Beats Data Shippers. Di bagian Manage Shippers, lihat shipper Auditbeat yang telah Anda jalankan.

      3. Tunggu hingga Shipper Status berubah menjadi Enabled 1/1, lalu di kolom Actions, klik View Instances.

      4. Di halaman View Instances, periksa Installed Shippers. Status Normal Heartbeat menunjukkan instalasi berhasil.

    Lihat hasilnya

    1. Masuk ke Konsol Kibana dari kluster Alibaba Cloud Elasticsearch target.

      Untuk informasi lebih lanjut, lihat Masuk ke Konsol Kibana.

    2. Di panel navigasi sebelah kiri, klik Discover, pilih pola indeks auditbeat-* yang telah ditentukan, lalu pilih rentang waktu untuk melihat data yang dikumpulkan oleh Auditbeat selama periode tersebut.

      查看Auditbeat数据收集结果

    3. Di panel navigasi sebelah kiri, klik Dashboard.

    4. Di daftar Dashboard, klik [Auditbeat File Integrity] Overview, lalu pilih rentang waktu untuk melihat event perubahan file yang dipantau selama periode tersebut.

      Auditbeat监控文件更改情况