Der Linux Audit-Daemon sammelt sicherheitsrelevante Aktivitäten, auf die man mit Hilfe von ausearch und aureport zugreifen kann. Das Analysieren und Zentralisieren dieser Datensätze ist allerdings nicht so einfach, wie man es erwarten würden. Der neue Auditbeat von Elastic behebt dies, indem er die ursprüngliche Konfiguration beibehält, die gesammelten Daten jedoch zentral speichern sowie einfach visualisieren kann.
Außerdem kann Auditbeat auch verwenden, um Änderungen an wichtigen Dateien, wie Binärdateien und Konfigurationsdateien, zu erkennen und mögliche Verstöße gegen Sicherheitsrichtlinien zu erkennen. Dieser Vortrag zeigt, was man tun kann, um Änderungen, Ereignisse und potenzielle Sicherheitsverletzungen auf interaktiven Dashboards so schnell wie möglich zu entdecken. Darüber hinaus kombinieren wir Auditd-Ereignisse mit Logs, die sicherheitsrelevant sind.