Aisbergg.beats
Rôle Ansible : aisbergg.beats
Ce rôle Ansible peut installer et configurer différents expéditeurs de données Beats de la famille Beats officielle. Les Beats suivants sont pris en charge par ce rôle :
Exigences
Aucune.
Variables du Rôle
| Variable | Par défaut | Commentaires |
|---|---|---|
beats_manage_repository |
true |
Activer la gestion du dépôt de packages Elastic Beat. |
beats_rhel_repo_url |
https://artifacts.elastic.co/packages/7.x/yum |
URL du dépôt RPM à utiliser pour l'installation |
beats_debian_repo_url |
https://artifacts.elastic.co/packages/7.x/apt |
URL du dépôt APT à utiliser pour l'installation |
auditbeat_install_state |
absent |
État d'installation d'Auditbeat (present, latest, absent) |
auditbeat_service_enabled |
false |
Activer le service Auditbeat au démarrage |
auditbeat_service_state |
stopped |
État d'exécution du service Auditbeat (started, stopped, restarted) |
auditbeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
filebeat_install_state |
absent |
État d'installation de Filebeat (present, latest, absent) |
filebeat_service_enabled |
false |
Activer le service Filebeat au démarrage |
filebeat_service_state |
stopped |
État d'exécution du service Filebeat (started, stopped, restarted) |
filebeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
functionbeat_install_state |
absent |
État d'installation de Functionbeat (present, latest, absent) |
functionbeat_service_enabled |
false |
Activer le service Functionbeat au démarrage |
functionbeat_service_state |
stopped |
État d'exécution du service Functionbeat (started, stopped, restarted) |
functionbeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
heartbeat_install_state |
absent |
État d'installation de Heartbeat (present, latest, absent) |
heartbeat_service_enabled |
false |
Activer le service Heartbeat au démarrage |
heartbeat_service_state |
stopped |
État d'exécution du service Heartbeat (started, stopped, restarted) |
heartbeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
metricbeat_install_state |
absent |
État d'installation de Metricbeat (present, latest, absent) |
metricbeat_service_enabled |
false |
Activer le service Metricbeat au démarrage |
metricbeat_service_state |
stopped |
État d'exécution du service Metricbeat (started, stopped, restarted) |
metricbeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
packetbeat_install_state |
absent |
État d'installation de Packetbeat (present, latest, absent) |
packetbeat_service_enabled |
false |
Activer le service Packetbeat au démarrage |
packetbeat_service_state |
stopped |
État d'exécution du service Packetbeat (started, stopped, restarted) |
packetbeat_service_restart_on_change |
true |
Redémarrer le service Docker lors de changements de configuration. |
auditbeat_config |
{} |
Configuration d'Auditbeat. (Référence) |
filebeat_config |
{} |
Configuration de Filebeat. (Référence) |
functionbeat_config |
{} |
Configuration de Functionbeat. (Référence) |
heartbeat_config |
{} |
Configuration de Heartbeat. (Référence) |
metricbeat_config |
{} |
Configuration de Metricbeat. (Référence) |
packetbeat_config |
{} |
Configuration de Packetbeat. (Référence) |
Dépendances
Aucune.
Exemple de Playbook
- hosts: all
vars:
# installer et gérer le service Auditbeat
auditbeat_install_state: present
auditbeat_service_enabled: true
auditbeat_service_state: started
auditbeat_config:
# transférer les journaux vers le collecteur de journaux central
output.logstash:
hosts:
- graylog1.example.org:5555
- graylog2.example.org:5555
loadbalance: true
slow_start: true
logging.level: warning
logging.to_files: false
logging.metrics.enabled: false
auditbeat.modules:
- module: auditd
resolve_ids: true
failure_mode: silent
backlog_limit: 8196
rate_limit: 0
include_raw_message: false
include_warnings: false
audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
audit_rules: |
# Auto-Audit ---------------------------------------------------------------
## Auditer les journaux d'audit
-w /var/log/audit/ -k auditlog
## Configuration d'Auditd
-w /etc/audit/ -p wa -k auditconfig
-w /etc/libaudit.conf -p wa -k auditconfig
-w /etc/audisp/ -p wa -k audispconfig
## Surveiller l'utilisation des outils de gestion d'audit
-w /sbin/auditctl -p x -k audittools
-w /sbin/auditd -p x -k audittools
-w /usr/sbin/augenrules -p x -k audittools
# Filtres ---------------------------------------------------------------------
## Ignorer les enregistrements AVC de SELinux
-a always,exclude -F msgtype=AVC
## Ignorer les enregistrements de répertoire de travail courant
-a always,exclude -F msgtype=CWD
# ...
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
exclude_files:
- '(?i)\.sw[nop]$'
- '~$'
- '/\.git($|/)'
- '/etc/mtab'
scan_at_start: true
scan_rate_per_sec: 50 MiB
max_file_size: 300 MiB
hash_types: [blake2b_256]
recursive: true
- module: system
datasets:
- package # Packages installés, mis à jour et supprimés
period: 30m # La fréquence à laquelle les datasets vérifient les changements
- module: system
datasets:
- host # Informations générales sur l'hôte, par ex. temps de fonctionnement, IPs
- login # Connexions, déconnexions des utilisateurs et démarrages du système.
- process # Processus démarrés et arrêtés
- user # Informations sur les utilisateurs
state.period: 6h
user.detect_password_changes: true
login.wtmp_file_pattern: /var/log/wtmp*
login.btmp_file_pattern: /var/log/btmp*
roles:
- aisbergg.beats
Licence
MIT
Informations sur l'Auteur
Andre Lehmann (aisberg@posteo.de)
Installer
ansible-galaxy install Aisbergg.beatsLicence
mit
Téléchargements
3.2k
Propriétaire
DevOps, Go, Python, Bash, Ansible, Docker, GitLab-CI, Linux, MariaDB, PostgreSQL, Open Source, Communication Design, Running