Auditbeat: Instalação e configuração
O Auditbeat serve para coletar dados de auditoria de hosts Linux e também monitora a integridade de arquivos em hosts Linux, macOS e Windows.
Para conseguir tirar mais proveito de todos os recursos do auditbeat recomendo que você inicie os testes em Linux, pois ele é super completo para fins de monitoraçāo de integridade e auditoria nesse SO.
A instalaçāo e configuraçāo é simples e depois que tudo estiver pronto, você terá acesso a várias métricas como a do dashboard abaixo. Os dados que o auditbeat coleta, também irāo aparecer no app SIEM.


Como começar a usar
Windows
- Faça o download do Auditbeat:
https://www.elastic.co/pt/downloads/beats/auditbeat2. Extraia o conteúdo do download e coloque ele no diretório C:\Program Files
3. Execute o comando abaixo para instalar:
PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-auditbeat.ps14. Edite o arquivo auditbeat.yml que fica localizado no diretório C:\Program Files\auditbeat\auditbeat.yml e insira as seguintes informações:
output.elasticsearch:
hosts: [“http://dns_do_elasticsearch:9200"]5. Execute o comando abaixo para criar o índice do Auditbeat e para carregar os dashboards:
.\auditbeat.exe setup6. Inicie o serviço do Auditbeat:
Start-Service auditbeat7. No Kibana, faça o teste para verificar se você está recebendo os dados do auditbeat:

Linux
- Faça o download do Auditbeat:
wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.4.1-x86_64.rpm2. Instale o Auditbeat:
sudo rpm -vi auditbeat-7.4.1-x86_64.rpm3. Edite o arquivo auditbeat.yml que fica localizado no diretório etc/auditbeat/auditbeat.ymle insira as seguintes informações:
output.elasticsearch:
hosts: [“http://dns_do_elasticsearch:9200"]4. Execute o comando abaixo para criar o índice do Auditbeat e para carregar os dashboards:
sudo auditbeat setup5. Inicie o serviço do Auditbeat:
sudo service auditbeat start6. No Kibana, faça o teste para verificar se você está recebendo os dados do auditbeat:

Além desse artigo, também fiz um vídeo demonstrando o passo a passo dessa configuração.
Para conhecer mais sobre esse produto, acesse o site da Elastic.

