audit.log 연동.
filebeat.inputs:
- type: filestream
id: my-filestream-id
enabled: true
paths:
- d:\test.log
output.console:
pretty: true
processors:
- include_fields:
fields: "message"
디버그 모드(filebeat.exe -e -d "*") 실행.
파일 사이즈가 너무 작다고? 8.18까지 잘 되던 게 안 되는 거 보니 9.0에서 변화가 있는 모양. 릴리즈 노트를 살펴보니 파일 수집 방식이 변경됐다. 1MB 이상일 때만 수집 가능하다고.
filebeat.inputs:
- type: filestream
id: my-filestream-id
enabled: true
paths:
- d:\test.log
prospector.scanner.fingerprint.enabled: false
output.console:
pretty: true
processors:
- include_fields:
fields: "message"
{ "@timestamp": "2025-05-02T03:41:27.182Z", "@metadata": { "beat": "filebeat", "type": "_doc", "version": "9.0.0" }, "message": "type=NETFILTER_CFG msg=audit(1745768855.270:63): table=filter family=10 entries=0"}{ "@timestamp": "2025-05-02T03:41:27.182Z", "@metadata": { "beat": "filebeat", "type": "_doc", "version": "9.0.0" }, "message": "type=SYSCALL msg=audit(1745768855.720:63): arch=c000003e syscall=175 success=yes exit=0 a0=1e2da20 a1=1d75 a2=41a2d8 a3=1e2a500 items=0 ppid=1335 pid=1336 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=\"modprobe\" exe=\"/usr/bin/kmod\" subj=system_u:system_r:insmod_t:s0 key=(null)"}
댓글 없음:
댓글 쓰기