Auditbeat + BigQuery + tableau로 감사 로그 시각화
개요
Auditbeat 시험 뒤에 BigQuery에 흘려 tableau로 시각화해 보았다.
ElasticStack 버전은 여기
환경
할 일
Auditbeat -> Stackdriver Logging -> bigquery로 내보내기 -> tableau에서보기
설치
google-fluentd
# curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
# bash install-logging-agent.sh
Auditbeat
# yum -y install https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-x86_64.rpm
설정
google-fluentd
fluent-plugin-beats 설치
# /opt/google-fluentd/embedded/bin/fluent-gem install fluent-plugin-beats --no-document
beats input 설정
# vi /etc/google-fluentd/config.d/beats.conf
<source>
@type beats
tag beats.event
</source>
Auditbeat
시스템 콜의 감사 기록도 취득하도록 한다.
fluentd 에 던지도록 한다.
# vi /etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
#output.elasticsearch:
#hosts: ["localhost:9200"]
output.logstash:
hosts: ["localhost:5044"]
시작
각종 기동한다.
# systemctl stop auditd ※
# /etc/init.d/google-fluentd restart
# /etc/init.d/auditbeat start
※CentOS 7의 경우는 auditbeat와 경합하므로 정지한다
BigQuery로 내보내기
아래에서 필터
resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"
내보내기 작성에서 BigQuery 데이터 세트를 작성하고 선택
BigQuery 측에서 확인
tableau 대시보드 만들기
Kibana의 대시 보드 같은 것을 만드십시오.
※데이터 소스 설정 시에는 '레거시 SQL 사용'에 체크하지 않으면 에러가 되었다
Reference
이 문제에 관하여(Auditbeat + BigQuery + tableau로 감사 로그 시각화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/quickguard/items/8c542b2dca687573ac0b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
google-fluentd
# curl -sSO https://dl.google.com/cloudagents/install-logging-agent.sh
# bash install-logging-agent.sh
Auditbeat
# yum -y install https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.0.0-rc1-x86_64.rpm
설정
google-fluentd
fluent-plugin-beats 설치
# /opt/google-fluentd/embedded/bin/fluent-gem install fluent-plugin-beats --no-document
beats input 설정
# vi /etc/google-fluentd/config.d/beats.conf
<source>
@type beats
tag beats.event
</source>
Auditbeat
시스템 콜의 감사 기록도 취득하도록 한다.
fluentd 에 던지도록 한다.
# vi /etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
#output.elasticsearch:
#hosts: ["localhost:9200"]
output.logstash:
hosts: ["localhost:5044"]
시작
각종 기동한다.
# systemctl stop auditd ※
# /etc/init.d/google-fluentd restart
# /etc/init.d/auditbeat start
※CentOS 7의 경우는 auditbeat와 경합하므로 정지한다
BigQuery로 내보내기
아래에서 필터
resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"
내보내기 작성에서 BigQuery 데이터 세트를 작성하고 선택
BigQuery 측에서 확인
tableau 대시보드 만들기
Kibana의 대시 보드 같은 것을 만드십시오.
※데이터 소스 설정 시에는 '레거시 SQL 사용'에 체크하지 않으면 에러가 되었다
Reference
이 문제에 관하여(Auditbeat + BigQuery + tableau로 감사 로그 시각화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/quickguard/items/8c542b2dca687573ac0b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
# /opt/google-fluentd/embedded/bin/fluent-gem install fluent-plugin-beats --no-document
# vi /etc/google-fluentd/config.d/beats.conf
<source>
@type beats
tag beats.event
</source>
# vi /etc/auditbeat/auditbeat.yml
- module: audit
metricsets: [kernel]
kernel.audit_rules: |
-a always,exit -S execve
#output.elasticsearch:
#hosts: ["localhost:9200"]
output.logstash:
hosts: ["localhost:5044"]
각종 기동한다.
# systemctl stop auditd ※
# /etc/init.d/google-fluentd restart
# /etc/init.d/auditbeat start
※CentOS 7의 경우는 auditbeat와 경합하므로 정지한다
BigQuery로 내보내기
아래에서 필터
resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"
내보내기 작성에서 BigQuery 데이터 세트를 작성하고 선택
BigQuery 측에서 확인
tableau 대시보드 만들기
Kibana의 대시 보드 같은 것을 만드십시오.
※데이터 소스 설정 시에는 '레거시 SQL 사용'에 체크하지 않으면 에러가 되었다
Reference
이 문제에 관하여(Auditbeat + BigQuery + tableau로 감사 로그 시각화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/quickguard/items/8c542b2dca687573ac0b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
resource.type="gce_instance"
logName="projects/<project name>/logs/beats.event"
tableau 대시보드 만들기
Kibana의 대시 보드 같은 것을 만드십시오.
※데이터 소스 설정 시에는 '레거시 SQL 사용'에 체크하지 않으면 에러가 되었다
Reference
이 문제에 관하여(Auditbeat + BigQuery + tableau로 감사 로그 시각화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/quickguard/items/8c542b2dca687573ac0b
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(Auditbeat + BigQuery + tableau로 감사 로그 시각화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/quickguard/items/8c542b2dca687573ac0b텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
