Elastic Agentを使用してLinuxシステム上でのログ収集を行う際、ユーザごとのコマンド実行履歴の追跡が重要な場合があります。この記事では、Elastic Agentの標準設定と、ユーザのコマンド実行追跡を可能にするための方法について解説します。
Elastic Agentの標準設定で収集されるログ
Elastic Agentを標準設定で使用した場合、OSログやアプリケーションログ、基本的なセキュリティイベントが収集されます。しかし、ユーザごとのコマンド実行、例えばpipやBashコマンドなどは、基本的には収集対象外です。つまり、Elastic Agentのデフォルト設定では「誰が何を実行したか」を追跡することはできません。
このため、ユーザのコマンド実行履歴を追跡したい場合は、Elastic Agentだけでは不十分で、追加の設定が必要になります。
コマンド実行の痕跡を収集する方法
Elastic Agentに「auditd」モジュールや「プロセス監査モジュール」を組み込むと、コマンド実行の痕跡を収集することができます。これにより、どのユーザがどのコマンドを実行したか、実行時間やプロセス情報も記録されます。
具体的には、auditdを設定することで、ユーザが実行したコマンドのログを収集できるようになり、セキュリティインシデントや不正アクセスの監査に役立ちます。ただし、HTTPS通信や暗号化されたデータの中身までは収集できないため、その点には注意が必要です。
収集できない情報
Elastic Agentでauditdモジュールを使用した場合でも、通信内容やダウンロードしたファイルの中身までは分かりません。例えば、HTTPS通信や暗号化された通信は平文で残らないため、これらのデータを直接的に監視することはできません。
そのため、特定の通信内容やファイルダウンロードの詳細を追跡したい場合は、追加のセキュリティ対策やツールが必要になります。
まとめ
Elastic Agentの標準設定では、ユーザのコマンド実行履歴を収集することはできませんが、「auditd」や「プロセス監査モジュール」を組み込むことで、ユーザのコマンド実行履歴を収集することが可能になります。しかし、暗号化された通信内容やダウンロードしたファイルの中身は収集できないため、その点を理解した上で監査設計を行う必要があります。
コメント