блин. снова мимо.

так нормальные безопасники из нормальных админов и сетевиков выростают в основном)

практики - да. управленцы безопасностью - часто нет.

Или из бумажных безопасников

там же далеко не только компьютерные дела

вот, я о них. :)

ну да, бумагомарателей тоже хватает

ну у нас в компании они в службе безопасности торчат..

IT безопасность в техническом блоке))

коллеги, помогите советом: настраиваю EFK, точнее - разбираюсь с ней, новичок в этом. Настроил отправку логов (messages\secure\nginx\fail2ban) через td-agent, все приходит, все нравится, в кибане вижу, графики строю, карты тоже. Захотелось добавить SIEM... как я понимаю, td-agent это не может (?) Все доки приводят к auditbeat и auditd (пока с ними не разбирался, в чем разница??). Насколько я понял из доков они могут напрямую в еластик писать, минуя logstash (его не хочу ставить, пока не вижу в нем смысла). В общем нужен совет - копать дальше td-agent или заменить его filebeat БЕЗ logstash?
Задача - отсылать логи\SIEM и потом планируется добавить тоже самое но с виндовых серверов.

вот прям пару экранов выше как раз про auditbeat vs auditd было

Без прддержки auditd полноценный seim не получится.  А уж куда эту инфу кидать - вариантов море.

да, прочитал, только не понял пока разницу между auditbeat и auditd

auditbeat чуть более фичастый и логи в один json склеивает, а не в несколько строк шлет

насколько я понял

ясно, значит зря потратил время на td-agent

но, взамен, жрет проц и i/o 🙂

auditd умеет писать в syslog и в файлы, td-agent умеет подбирать из файлов и вроде бы из сислога тоже

да, td-agent умеет логи парсить и сислог