Aisbergg.beats

Ansibleロール: `aisbergg.beats`

このAnsibleロールは、公式のビーツファミリーからさまざまなBeatsデータシッパーをインストールおよび構成できます。このロールがサポートしているBeatsは次のとおりです：

要件

なし。

ロール変数

変数	デフォルト	コメント
`beats_manage_repository`	`true`	Elastic Beatパッケージリポジトリの管理を有効にします。
`beats_rhel_repo_url`	`https://artifacts.elastic.co/` `packages/7.x/yum`	インストールに使用するRPMリポジトリのURL
`beats_debian_repo_url`	`https://artifacts.elastic.co/` `packages/7.x/apt`	インストールに使用するAPTリポジトリのURL
`auditbeat_install_state`	`absent`	Auditbeatのインストール状態（`present`, `latest`, `absent`）
`auditbeat_service_enabled`	`false`	起動時にAuditbeatサービスを有効化
`auditbeat_service_state`	`stopped`	Auditbeatサービスの実行状態（`started`, `stopped`, `restarted`）
`auditbeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`filebeat_install_state`	`absent`	Filebeatのインストール状態（`present`, `latest`, `absent`）
`filebeat_service_enabled`	`false`	起動時にFilebeatサービスを有効化
`filebeat_service_state`	`stopped`	Filebeatサービスの実行状態（`started`, `stopped`, `restarted`）
`filebeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`functionbeat_install_state`	`absent`	Functionbeatのインストール状態（`present`, `latest`, `absent`）
`functionbeat_service_enabled`	`false`	起動時にFunctionbeatサービスを有効化
`functionbeat_service_state`	`stopped`	Functionbeatサービスの実行状態（`started`, `stopped`, `restarted`）
`functionbeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`heartbeat_install_state`	`absent`	Heartbeatのインストール状態（`present`, `latest`, `absent`）
`heartbeat_service_enabled`	`false`	起動時にHeartbeatサービスを有効化
`heartbeat_service_state`	`stopped`	Heartbeatサービスの実行状態（`started`, `stopped`, `restarted`）
`heartbeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`metricbeat_install_state`	`absent`	Metricbeatのインストール状態（`present`, `latest`, `absent`）
`metricbeat_service_enabled`	`false`	起動時にMetricbeatサービスを有効化
`metricbeat_service_state`	`stopped`	Metricbeatサービスの実行状態（`started`, `stopped`, `restarted`）
`metricbeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`packetbeat_install_state`	`absent`	Packetbeatのインストール状態（`present`, `latest`, `absent`）
`packetbeat_service_enabled`	`false`	起動時にPacketbeatサービスを有効化
`packetbeat_service_state`	`stopped`	Packetbeatサービスの実行状態（`started`, `stopped`, `restarted`）
`packetbeat_service_restart_on_change`	`true`	設定変更時にDockerデーモンサービスを再起動
`auditbeat_config`	`{}`	Auditbeatの設定。(参考)
`filebeat_config`	`{}`	Filebeatの設定。(参考)
`functionbeat_config`	`{}`	Functionbeatの設定。(参考)
`heartbeat_config`	`{}`	Heartbeatの設定。(参考)
`metricbeat_config`	`{}`	Metricbeatの設定。(参考)
`packetbeat_config`	`{}`	Packetbeatの設定。(参考)

依存関係

なし。

例 Playbook

- hosts: all
  vars:
    # Auditbeatサービスをインストールおよび管理
    auditbeat_install_state: present
    auditbeat_service_enabled: true
    auditbeat_service_state: started

    auditbeat_config:
      # ログを中央のログコレクターに転送
      output.logstash:
        hosts:
          - graylog1.example.org:5555
          - graylog2.example.org:5555
        loadbalance: true
        slow_start: true

      logging.level: warning
      logging.to_files: false
      logging.metrics.enabled: false

      auditbeat.modules:
        # https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-module-auditd.html
        # これはAuditdプログラムを置き換えます（Auditdと同時に実行しないこと）
        - module: auditd
          resolve_ids: true
          failure_mode: silent
          backlog_limit: 8196
          rate_limit: 0
          include_raw_message: false
          include_warnings: false
          audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
          # https://github.com/Neo23x0/auditd/blob/master/audit.rules から取得
          audit_rules: |
            # 自己監査 ---------------------------------------------------------------

            ## 監査ログを監査
            ### 監査記録から情報を読む成功と失敗の試み
            -w /var/log/audit/ -k auditlog

            ## Auditdの設定
            ### 監査コレクション機能が動作している間に監査設定が変更された場合
            -w /etc/audit/ -p wa -k auditconfig
            -w /etc/libaudit.conf -p wa -k auditconfig
            -w /etc/audisp/ -p wa -k audispconfig

            ## 監査管理ツールの使用を監視
            -w /sbin/auditctl -p x -k audittools
            -w /sbin/auditd -p x -k audittools
            -w /usr/sbin/augenrules -p x -k audittools

            # フィルター ---------------------------------------------------------------------

            ### 監査は最初の一致が勝つシステムであるため、これを早めに置きます。

            ## SELinux AVCレコードを無視
            -a always,exclude -F msgtype=AVC

            ## 現在の作業ディレクトリレコードを無視
            -a always,exclude -F msgtype=CWD

            ## EOEレコードを無視（End Of E）

        # https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-module-file_integrity.html
        - module: file_integrity
          paths:
            - /bin
            - /usr/bin
            - /sbin
            - /usr/sbin
            - /etc
          exclude_files:
            - '(?i)\.sw[nop]$'
            - '~$'
            - '/\.git($|/)'
            - '/etc/mtab'
          scan_at_start: true
          scan_rate_per_sec: 50 MiB
          max_file_size: 300 MiB
          hash_types: [blake2b_256]
          recursive: true

        # https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-module-system.html
        - module: system
          datasets:
            - package # インストール、更新、削除されたパッケージ
          period: 30m # データセットが変更をチェックする頻度

        - module: system
          datasets:
            - host    # 一般的なホスト情報（例：稼働時間、IPアドレス）
            - login   # ユーログイン、ログアウト、システム起動
            - process # 開始されたプロセスと停止したプロセス
            - user    # ユーザー情報
          state.period: 6h
          user.detect_password_changes: true
          # ログイン記録ファイルのファイルパターン
          login.wtmp_file_pattern: /var/log/wtmp*
          login.btmp_file_pattern: /var/log/btmp*

  roles:
    - aisbergg.beats