linuxのサーバにelastic agentを導入し、にelastic defend integrationをあてて、logを収集することを検討しています。
そこで疑問です。
Linuxの場合、File、Network、Processのイベントを取得できるようですが、これらは何処で作成されたログになるのでしょうか。
System integrationや、Auditd log integrationなら、設定にファイルを指定する部分があるためどこを参照しているかある程度わかるのですが。。elastic defendはわからず。
elastic defendと関連のあるprebuilt ルールの利用も検討しているのですが、そもそもどこにあるログをelastic defendが収集して、いるのか分からず、出来れば理解してから使い始めたいと考えております。
以上、よろしくお願いします。