Почему auditbeat не пишет в elastic определенные поля?

Добрый день.

Я новичок, но мне поставили задачу отладить (первоначально настройку делали до меня) мониторинг "опасных команд" на серверах. Настроена цепочка auditd->auditbeat->elastic. Скрипт уже вытягивает через curl из эластика данные в формате json и парсит.
Вроде все работае. но заметил, что некоторые записи в елке какие-то неполноценные. Отсутствует желаеоые поле user.audit.name, в котором указано имя пользователя, выполнившего команду (реальное, даже если он "скрыт" за sudo -s или sudo -i). Так же отстутсвуют иногда поля с командами самими process.args (массив аргументов команды), process.title (вся команда вцелом) и process.working_directory (рабочая папка, из которой выполнена команда).

Запись с урезанными данными
@timestamp May 15, 2023 @ 10:23:31.696
_id 4ntLHogBHhn_oWxkA_bu
_index auditbeat-7.6.2
_score -
_type _doc
agent.ephemeral_id c05b2fed-0cce-4cbe-8fb4-a1966f8cb7c6
gent.hostname [hostname]
agent.id b085d587-d285-4162-9314-42671e23afac
agent.type auditbeat
agent.version 7.6.2
ecs.version 1.4.0
event.action process_stopped
event.dataset process
event.kind event
event.module system
host.architecture x86_64
host.containerized false
host.hostname [hostname]
host.id d83a5c511c0b4e82bbda8bde388a329f
host.name [hostname]
host.os.codename focal
host.os.family debian
host.os.kernel 5.4.0-91-generic
host.os.name Ubuntu
host.os.platform ubuntu
host.os.version 20.04.3 LTS (Focal Fossa)
message Process systemd-udevd (PID: 3767669) by user root STOPPED
process.args /lib/systemd/systemd-udevd
process.entity_id 1wkJnA6SfNkkeR+P
process.executable /usr/lib/systemd/systemd-udevd
process.hash.sha1 4d6e36150497304f3844062d60e31701778d08f1
process.name systemd-udevd
process.pid 3767669
process.ppid 935444
process.start May 15, 2023 @ 10:22:36.390
process.working_directory /
service.type system
user.effective.group.id 0
user.effective.id 0
user.group.id 0
user.group.name root
user.id 0
user.name root
user.saved.group.id 0
user.saved.id 0


Запись с полными данными
@timestamp May 15, 2023 @ 10:23:30.628
_id 73tKHogBHhn_oWxk__Wz
_index auditbeat-7.6.2
_score -
_type _doc
agent.ephemeral_id c05b2fed-0cce-4cbe-8fb4-a1966f8cb7c6
agent.hostname [hostname]
agent.id b085d587-d285-4162-9314-42671e23afac
agent.type auditbeat
agent.version 7.6.2
auditd.data.a0 558c651ae360
auditd.data.a1 558c651ac730
auditd.data.a2 558c652e2810
auditd.data.a3 8
auditd.data.arch x86_64
auditd.data.argc 2
auditd.data.exit 0
auditd.data.syscall execve
auditd.data.tty pts0
auditd.message_type syscall
auditd.paths {
"cap_frootid": "0",
"dev": "fd:00",
"name": "/usr/bin/rm",
"nametype": "NORMAL",
"ogid": "0",
"ouid": "0",
"cap_fver": "0",
"rdev": "00:00",
"mode": "0100755",
"cap_fe": "0",
"cap_fi": "0",
"cap_fp": "0",
"inode": "132002",
"item": "0"
},
{
"cap_fi": "0",
"ogid": "0",
"cap_fp": "0",
"cap_fver": "0",
"name": "/lib64/ld-linux-x86-64.so.2",
"nametype": "NORMAL",
"ouid": "0",
"cap_frootid": "0",
"inode": "136925",
"item": "1",
"mode": "0100755",
"cap_fe": "0",
"dev": "fd:00",
"rdev": "00:00"
}
auditd.result success
auditd.sequence 649353
auditd.session 87763
auditd.summary.actor.primary [username]
auditd.summary.actor.secondary [username]
auditd.summary.how /usr/bin/rm
auditd.summary.object.primary /usr/bin/rm
auditd.summary.object.type file
ecs.version 1.4.0
event.action executed
event.category audit-rule
event.module auditd
event.outcome success
file.device 00:00
file.gid 0
file.group root
file.inode 132002
file.mode 0755
file.owner root
file.path /usr/bin/rm
file.uid 0
host.architecture x86_64
host.containerized false
host.hostname [hostname]
host.id d83a5c511c0b4e82bbda8bde388a329f
host.name [hostname]
host.os.codename focal
host.os.family debian
host.os.kernel 5.4.0-91-generic
host.os.name Ubuntu
host.os.platform ubuntu
host.os.version 20.04.3 LTS (Focal Fossa)
process.args rm, test
process.executable /usr/bin/rm
process.name rm
process.pid 3767828
process.ppid 3767803
process.title rm test
process.working_directory /home/[username]
service.type auditd
tags user_acct
user.audit.id 1019
user.audit.name [username]
user.effective.group.id 1020
user.effective.group.name [username]
user.effective.id 1019
user.effective.name [username]
user.filesystem.group.id 1020
user.filesystem.group.name [username]
user.filesystem.id 1019
user.filesystem.name [username]
user.group.id 1020
user.group.name [username]
user.id 1019
user.name [username]
user.saved.group.id 1020
user.saved.group.name [username]
user.saved.id 1019
user.saved.name [username]


Выше указаны записи, которые относятся к одному серверу.
Прошу подсказать от чего могут зависеть передача этих параметров в елку и куда стоит обратить внимание. Самостоятельно внятную инфу найти в документациях я не смог.
  • Вопрос задан
  • 174 просмотра
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы