teacherspayteachers/linux-audit-exporter

linux-audit-exporter

镜像概述和主要用途

linux-audit-exporter是一个Prometheus导出器，用于将Linux审计系统状态以Prometheus格式导出指标。Linux审计系统可配置记录安全相关事件（如系统调用），在高吞吐量系统中可能出现审计事件生成速度超过消费速度的情况，导致事件丢失、处理延迟或内存不足。该导出器提供指标帮助运维人员监控审计系统状态，避免这些问题。

项目状态

该项目：

• 处于ALPHA状态
• 由Teachers Pay Teachers维护
• 已在Teachers Pay Teachers的生产环境中使用

版本控制

在ALPHA状态期间，小版本之间可能发生破坏性变更，变更将在https://github.com/TeachersPayTeachers/linux-audit-exporter/blob/main/CHANGELOG.md%E5%92%8CGitHub%E5%8F%91%E5%B8%83%E8%AF%B4%E6%98%8E%E4%B8%AD%E5%85%AC%E5%B8%83%E3%80%82

API表面包括：

• 运行时依赖
• Helm chart值
• CLI标志和环境变量
• 导出的Prometheus指标名称和标签

核心功能和特性

• 导出Linux审计系统关键指标，包括待处理事件数、事件丢失数、审计启用状态等
• 支持Prometheus格式，便于集成到监控系统
• 可通过Docker和Kubernetes部署，适合容器化环境
• 提供健康检查和指标端点

使用场景和适用范围

适用于需要监控Linux审计系统状态的场景，特别是：

• 高吞吐量系统，可能出现审计事件生成速度超过处理速度的情况
• 对安全事件审计有严格要求的环境，需确保审计事件不丢失
• 使用Prometheus进行监控的Linux服务器或Kubernetes集群

要求

构建项目需要Golang 1.14+。

可在任何能运行Go二进制文件的系统上运行，但只有在Linux主机上运行时才会导出Linux审计状态；在非Linux主机上运行时，将导出零值指标。

此外，还需要：

• 以root（UID 0）用户运行二进制文件
• 审计读取权限（CAP_AUDIT_READ）
• Docker中需使用--host=pid，Kubernetes中需设置hostPID: true

构建

Go二进制文件

bash
$ go build .

Docker镜像

bash
$ docker build .

使用方法

帮助

bash
$ linux-audit-exporter -h
Export Linux audit status as Prometheus metrics

Usage:
  linux-audit-exporter [flags]

Flags:
      --health-path string      health path (default "/healthz")
  -h, --help                    help for linux-audit-exporter
      --listen-address string   listen address (default "0.0.0.0:9090")
      --metrics-path string     metrics path (default "/metrics")

运行

直接运行二进制文件：

bash
$ linux-audit-exporter

或使用Docker镜像：

bash
$ docker run -p 9090:9090 --privileged TeachersPayTeachers/linux-audit-exporter

获取指标

bash
$ curl localhost:9090/metrics | grep linux_audit

部署

Docker

Docker镜像发布于https://hub.docker.com/repository/docker/teacherspayteachers/linux-audit-exporter%E3%80%82

bash
$ docker run --privileged teacherspayteachers/linux-audit-exporter:latest

Helm

提供Helm chart，将linux-audit-exporter部署为DaemonSet。

bash
$ helm repo add tpt https://teacherspayteachers.github.io/helm-charts
$ helm install linux-audit-exporter tpt/linux-audit-exporter

Helm chart代码位于https://github.com/TeachersPayTeachers/linux-audit-exporter/tree/main/deploy/helm-charts/linux-audit-exporter%E3%80%82

导出指标

在具有所需权限的Linux主机上运行时，将导出Linux审计状态的Prometheus指标。以下是示例：

# HELP linux_audit_backlog 当前排队等待auditd读取的事件记录数。
# TYPE linux_audit_backlog gauge
linux_audit_backlog 0
# HELP linux_audit_backlog_limit 允许的未处理审计缓冲区数量。
# TYPE linux_audit_backlog_limit gauge
linux_audit_backlog_limit 5000
# HELP linux_audit_backlog_wait_time 达到积压限制时内核等待的时间。
# TYPE linux_audit_backlog_wait_time gauge
linux_audit_backlog_wait_time 15000
# HELP linux_audit_backlog_wait_time_actual 内核在积压时等待排队审计事件所花费的总时间。
# TYPE linux_audit_backlog_wait_time_actual gauge
linux_audit_backlog_wait_time_actual 10
# HELP linux_audit_enabled 启用标志。0=禁用，1=启用，2=不可变，-1=未知。
# TYPE linux_audit_enabled gauge
linux_audit_enabled 1
# HELP linux_audit_failure 严重错误数量，如传输错误、积压限制超等。
# TYPE linux_audit_failure gauge
linux_audit_failure 0
# HELP linux_audit_lost 因内核审计队列溢出而丢弃的事件记录数。
# TYPE linux_audit_lost gauge
linux_audit_lost 0
# HELP linux_audit_rate_limit 每秒消息限制。值为0表示无速率限制。
# TYPE linux_audit_rate_limit gauge
linux_audit_rate_limit 100000

替代方案

printk 和 dmesg

Linux审计系统可配置使用printk记录失败和丢失事件，通常可通过dmesg读取。

StatsD插件

存在一个（在撰写本文时为实验性）用户空间https://github.com/linux-audit/audit-userspace/tree/27bb97d1dd04cc3768ab7756008a7164f308bf85/audisp/plugins/statsd%E3%80%82

贡献

非常欢迎贡献！

请参阅https://github.com/TeachersPayTeachers/linux-audit-exporter/blob/main/CONTRIBUTING.md%E4%BA%86%E8%A7%A3%E5%A6%82%E4%BD%95%E4%B8%BA%E6%AD%A4%E9%A1%B9%E7%9B%AE%E8%B4%A1%E7%8C%AE%E6%9B%B4%E6%94%B9%E3%80%82

发布

当新提交合并到main分支时，如果有任何新的fix:或feat:提交，内部流程将自动创建新的GitHub发布、Docker镜像和Helm chart。

Teachers Pay Teachers员工注意：有关此流程的信息，请参阅内部wiki。

持续集成

此项目的新提交或拉取请求由GitHub Actions自动构建、 lint 和测试。CI操作的配置见./github/workflows/ci.yaml文件。

许可证

https://github.com/TeachersPayTeachers/linux-audit-exporter/blob/main/LICENSE.md