【Auditbeat让审计规则动态生效】
1、修改auditbeat.yml,配置动态加载,添加如下配置:
auditbeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: true
reload.period: 10s
说明:
path:制定动态的目录,当目录下的文件发生变化时,auditbeat会监听到变化,重新加载配置让新规则生效。
reload.enabled:配置是否启动动态加载,true:启动,false:不启动
reload.period:检查配置变化的频率,例如10s表示每10秒检查一次,建议配置不要低于1s,对审计来说10s完全足够了。
2、结合步骤一,我们需要创建modules.d目录,将自己的配置放在该目录下,例如,创建auditd.yml文件,配置audit的审计规则,配置如下:
- module: auditd
# Load audit rules from separate files. Same format as audit.rules(7).
#audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
audit_rules: |
## Define audit rules here.
## Create file watches (-w) or syscall audits (-a or -A). Uncomment these
## examples or add your o