Почему auditbeat не пишет в elastic определенные поля?

Question

[Евгений Воробьев]

Я новичок, но мне поставили задачу отладить (первоначально настройку делали до меня) мониторинг "опасных команд" на серверах. Настроена цепочка auditd->auditbeat->elastic. Скрипт уже вытягивает через curl из эластика данные в формате json и парсит.
Вроде все работает, но заметил, что некоторые записи в елке какие-то неполноценные. Отсутствует желаемое поле user.audit.name, в котором указано имя пользователя, выполнившего команду (реальное, даже если он "скрыт" за sudo -s или sudo -i). Также отсутствуют иногда поля с командами самими process.args (массив аргументов команды), process.title (вся команда в целом) и process.working_directory (рабочая папка, из которой выполнена команда).

Запись с урезанными данными

@timestamp	May 15, 2023 @ 10:23:31.696
_id	4ntLHogBHhn_oWxkA_bu
_index	auditbeat-7.6.2
_score	 - 
_type	_doc
agent.ephemeral_id	c05b2fed-0cce-4cbe-8fb4-a1966f8cb7c6
gent.hostname	[hostname]
agent.id	b085d587-d285-4162-9314-42671e23afac
agent.type	auditbeat
agent.version	7.6.2
ecs.version	1.4.0
event.action	process_stopped
event.dataset	process
event.kind	event
event.module	system
host.architecture	x86_64
host.containerized	false
host.hostname	[hostname]
host.id	d83a5c511c0b4e82bbda8bde388a329f
host.name	[hostname]
host.os.codename	focal
host.os.family	debian
host.os.kernel	5.4.0-91-generic
host.os.name	Ubuntu
host.os.platform	ubuntu
host.os.version	20.04.3 LTS (Focal Fossa)
message	Process systemd-udevd (PID: 3767669) by user root STOPPED
process.args	/lib/systemd/systemd-udevd
process.entity_id	1wkJnA6SfNkkeR+P
process.executable	/usr/lib/systemd/systemd-udevd
process.hash.sha1	4d6e36150497304f3844062d60e31701778d08f1
process.name	systemd-udevd
process.pid	3767669
process.ppid	935444
process.start	May 15, 2023 @ 10:22:36.390
process.working_directory	/
service.type	system
user.effective.group.id	0
user.effective.id	0
user.group.id	0
user.group.name	root
user.id	0
user.name	root
user.saved.group.id	0
user.saved.id	0

Запись с полными данными

@timestamp	May 15, 2023 @ 10:23:30.628
	_id	73tKHogBHhn_oWxk__Wz
	_index	auditbeat-7.6.2
	_score	 - 
	_type	_doc
	agent.ephemeral_id	c05b2fed-0cce-4cbe-8fb4-a1966f8cb7c6
	agent.hostname	[hostname]
	agent.id	b085d587-d285-4162-9314-42671e23afac
	agent.type	auditbeat
	agent.version	7.6.2
	auditd.data.a0	558c651ae360
	auditd.data.a1	558c651ac730
	auditd.data.a2	558c652e2810
	auditd.data.a3	8
	auditd.data.arch	x86_64
	auditd.data.argc	2
	auditd.data.exit	0
	auditd.data.syscall	execve
	auditd.data.tty	pts0
	auditd.message_type	syscall
	auditd.paths	{
  "cap_frootid": "0",
  "dev": "fd:00",
  "name": "/usr/bin/rm",
  "nametype": "NORMAL",
  "ogid": "0",
  "ouid": "0",
  "cap_fver": "0",
  "rdev": "00:00",
  "mode": "0100755",
  "cap_fe": "0",
  "cap_fi": "0",
  "cap_fp": "0",
  "inode": "132002",
  "item": "0"
},
{
  "cap_fi": "0",
  "ogid": "0",
  "cap_fp": "0",
  "cap_fver": "0",
  "name": "/lib64/ld-linux-x86-64.so.2",
  "nametype": "NORMAL",
  "ouid": "0",
  "cap_frootid": "0",
  "inode": "136925",
  "item": "1",
  "mode": "0100755",
  "cap_fe": "0",
  "dev": "fd:00",
  "rdev": "00:00"
}
	auditd.result	success
	auditd.sequence	649353
	auditd.session	87763
	auditd.summary.actor.primary	[username]
	auditd.summary.actor.secondary	[username]
	auditd.summary.how	/usr/bin/rm
	auditd.summary.object.primary	/usr/bin/rm
	auditd.summary.object.type	file
	ecs.version	1.4.0
	event.action	executed
	event.category	audit-rule
	event.module	auditd
	event.outcome	success
	file.device	00:00
	file.gid	0
	file.group	root
	file.inode	132002
	file.mode	0755
	file.owner	root
	file.path	/usr/bin/rm
	file.uid	0
	host.architecture	x86_64
	host.containerized	false
	host.hostname	[hostname]
	host.id	d83a5c511c0b4e82bbda8bde388a329f
	host.name	[hostname]
	host.os.codename	focal
	host.os.family	debian
	host.os.kernel	5.4.0-91-generic
	host.os.name	Ubuntu
	host.os.platform	ubuntu
	host.os.version	20.04.3 LTS (Focal Fossa)
	process.args	rm, test
	process.executable	/usr/bin/rm
	process.name	rm
	process.pid	3767828
	process.ppid	3767803
	process.title	rm test
	process.working_directory	/home/[username]
	service.type	auditd
	tags	user_acct
	user.audit.id	1019
	user.audit.name	[username]
	user.effective.group.id	1020
	user.effective.group.name	[username]
	user.effective.id	1019
	user.effective.name	[username]
	user.filesystem.group.id	1020
	user.filesystem.group.name	[username]
	user.filesystem.id	1019
	user.filesystem.name	[username]
	user.group.id	1020
	user.group.name	[username]
	user.id	1019
	user.name	[username]
	user.saved.group.id	1020
	user.saved.group.name	[username]
	user.saved.id	1019
	user.saved.name	[username]

Выше указаны записи, которые относятся к одному серверу.
Прошу подсказать от чего могут зависеть передача этих параметров в елку и куда стоит обратить внимание. Самостоятельно внятную инфу найти в документациях я не смог.