Filebeat - 监控跳转服务器
Filebeat - Monitoring a Jump server
我正在使用 Elastic/Filebeat/Kibana 并希望监控专门通过 ssh 进入 Jump Box 的用户
- 他们连接到哪些 IP
- 哪些用户正在连接到这些 IP
- 哪些机器连接最多
- 哪个用户创建的出站连接最多
我启用了系统模块,我只能看到“related.user”告诉我谁通过 ssh 连接到服务器,仅此而已。
您需要调整配置才能看到所需的所有信息。
他们连接到哪些 IP?
你错过了 destination.ip,你可以很容易地从它那里捡起来。更改是你想写一些代码,你也可以从 ssh 命令本身中提取它,你可以在命令中看到用户、其他参数和目标 ip,但你需要解析该列表。 (process.parent.args),此外,你可以获取列表计数,并获取最后一个元素,通常是 IP,但我认为使用 destination.ip 本身更容易。
哪些用户正在连接到这些 IP?
为此,在获得源和目标详细信息后,您需要创建 Kibana 报告,您可以 运行 多个聚合并添加不同的面板。 IP 的简单聚合将向您显示此内容,这是您希望如何显示的偏好问题。
哪些机器连接最多?
同样,您首先 运行 对来源或目的地(或两者)进行计数,然后 运行 对它们进行最大值计数。
哪个用户创建的出站连接最多?
在这里,您可以通过 运行 计数并按用户分组,然后按降序列出所有用户。
您可以在此处查看完整的属性列表 (ecs fields)
总结:
你需要一些额外的字段,destiantion.ip,source.ip,最终解析你的参数,然后为了报告你需要计算它们并聚合它们,但是一旦你有了这些数据你就可以轻松地提取它们并且 运行 对它们的聚合。我认为相关用户是一个很好的用户,因为它是事件本身中唯一显示的用户,但是如果这个用户 A 实际上使用帐户 B 连接到 SSH,在这种情况下你需要将参数从 process.parent.args.
干杯。
我正在使用 Elastic/Filebeat/Kibana 并希望监控专门通过 ssh 进入 Jump Box 的用户
- 他们连接到哪些 IP
- 哪些用户正在连接到这些 IP
- 哪些机器连接最多
- 哪个用户创建的出站连接最多
我启用了系统模块,我只能看到“related.user”告诉我谁通过 ssh 连接到服务器,仅此而已。
您需要调整配置才能看到所需的所有信息。
他们连接到哪些 IP?
你错过了 destination.ip,你可以很容易地从它那里捡起来。更改是你想写一些代码,你也可以从 ssh 命令本身中提取它,你可以在命令中看到用户、其他参数和目标 ip,但你需要解析该列表。 (process.parent.args),此外,你可以获取列表计数,并获取最后一个元素,通常是 IP,但我认为使用 destination.ip 本身更容易。
哪些用户正在连接到这些 IP? 为此,在获得源和目标详细信息后,您需要创建 Kibana 报告,您可以 运行 多个聚合并添加不同的面板。 IP 的简单聚合将向您显示此内容,这是您希望如何显示的偏好问题。
哪些机器连接最多? 同样,您首先 运行 对来源或目的地(或两者)进行计数,然后 运行 对它们进行最大值计数。
哪个用户创建的出站连接最多? 在这里,您可以通过 运行 计数并按用户分组,然后按降序列出所有用户。
您可以在此处查看完整的属性列表 (ecs fields)
总结:
你需要一些额外的字段,destiantion.ip,source.ip,最终解析你的参数,然后为了报告你需要计算它们并聚合它们,但是一旦你有了这些数据你就可以轻松地提取它们并且 运行 对它们的聚合。我认为相关用户是一个很好的用户,因为它是事件本身中唯一显示的用户,但是如果这个用户 A 实际上使用帐户 B 连接到 SSH,在这种情况下你需要将参数从 process.parent.args.
干杯。