[7] Filebeat – Instalacja

29 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Zainstaluj Filebeat, który z łatwością przesyła dane z pliku dziennika do Elasticsearch lub Logstash.

[1] Zainstaluj Filebeat. Skonfiguruj repozytorium Elasticsearch przed instalacją.

[root@vlsr01 ~]# dnf install filebeat

[2] Skonfiguruj podstawowe ustawienia i uruchom Filebeat.

[root@vlsr01 ~]# mcedit /etc/filebeat/filebeat.yml
# linia 21 : ustaw elementy do zbierania danych
# jeśli zbierasz dzienniki, ustaw [enabled: true]
# domyślnie dostarczane są pliki /var/log/*.log
- type: log
# Change to true to enable this prospector configuration.
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /var/log/*.log
#- c:\programdata\elasticsearch\logs\*
# Exclude lines. A list of regular expressions to match. It drops the lines that are
# matching any regular expression from the list.
#exclude_lines: ['^DBG']
# Include lines. A list of regular expressions to match. It exports the lines that are
# matching any regular expression from the list.
#include_lines: ['^ERR', '^WARN']
# Exclude files. A list of regular expressions to match. Filebeat drops the files that
# are matching any regular expression from the list. By default, no files are dropped.
#exclude_files: ['.gz$']
. . . . .
# linia 101 : jeśli używasz Kibany, odkomentuj i określ hosta wyjściowego
# jeśli SSL jest włączony w Kibana, nazwa hosta powinna być taka sama jak nazwa hosta w certs
setup.kibana:
. . . . .
host: https://vlsrv01.zicher.lab:5601
# linia 132 : określ hosta wyjściowego
# domyślną opcją jest Elasticsearch lokalnego hosta
# jeśli wyjście jest do Logstash, zakomentuj Elasticsearch i odkomentuj wiersze logstash
output.elasticsearch:
# Array of hosts to connect to.l
hosts: ["localhost:9200"]
. . . . .
#output.logstash:
# The Logstash hosts
#hosts: ["localhost:5044"]

[root@vlsr01 ~]# mcedit /etc/filebeat/filebeat.reference.yml
# linia 15 : ustaw elementy do zbierania danych
- module: system
# Syslog
syslog:
enabled: true
. . . . .
# Authorization logs
auth:
enabled: true
# linia 4565: jeśli używasz Kibany, odkomentuj i określ hosta wyjściowego
# jeśli SSL jest włączone w Kibana, odkomentuj wiersze związane z ssl
# jeśli twoje certyfikaty są z własnym podpisem, ssl.verification_mode powinien mieć wartość [none]
setup.kibana:
# Kibana Host
# Scheme and port can be left out and will be set to the default (http and 5601)
# In case you specify and additional path, the scheme is required: http://localhost:5601/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
host: "vlsr01.zicher.lab:5601"
# Optional protocol and basic auth credentials.
protocol: "https"
#username: "elastic"
#password: "changeme"
# Optional HTTP Path
#path: ""
# Use SSL settings for HTTPS. Default is true.
ssl.enabled: true
. . . . .
# after very careful consideration. It is primarily intended as a temporary
# diagnostic mechanism when attempting to resolve TLS errors; its use in
# production environments is strongly discouraged.
# The default value is full.
ssl.verification_mode: none

[root@vlsr01 ~]# systemctl enable --now filebeat

[3] Sprawdź status, czy dane zostały zebrane normalnie.

# lista indeksów
[root@vlsr01 ~]# curl localhost:9200/_cat/indices?v
health status index                               uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .geoip_databases                    3Blp2ITzT3OGMcKpXWQmvQ   1   0         44            0     41.5mb         41.5mb
yellow open   sshd_fail-2022.03                   oEnHEEU5QAe_qnDkUUhxYg   1   1         11            0     64.3kb         64.3kb
green  open   .apm-custom-link                    xQPmqjYQQNGk7jqY47y5lg   1   0          0            0       226b           226b
yellow open   metricbeat-7.17.1-2022.03.26-000001 7YefwbdcSdehjGkbWHoFog   1   1      91923            0     55.9mb         55.9mb
green  open   .apm-agent-configuration            5G3uKQzFReOnbIAS1thWCg   1   0          0            0       226b           226b
yellow open   packetbeat-7.17.1-2022.03.27-000001 YmtowBRbQjSaYcjWVRqRHA   1   1      75882            0     22.2mb         22.2mb
green  open   .async-search                       KVliO2njSce1JuGEXKxeuQ   1   0          0            0       255b           255b
green  open   .kibana_task_manager_7.17.1_001     OSLFw2ALSgi4QKmU_ucjOA   1   0         17        57351      5.8mb          5.8mb
green  open   .kibana_7.17.1_001                  rnb6SpMkQQmPFx1PI4t77Q   1   0       2913          167      3.5mb          3.5mb
yellow open   filebeat-7.17.1-2022.03.27-000001   AHMGTS80TmqndW4G6_Qo8w   1   1       3041            0    525.3kb        525.3kb

# lista dokumentów w indeksie
[root@vlsr01 ~]# curl localhost:9200/filebeat-7.17.1-2022.03.27-000001/_search?pretty
{
  "took" : 1,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 3041,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "filebeat-7.17.1-2022.03.27-000001",
        "_type" : "_doc",
        "_id" : "bVygyn8Bv-wbtR34xIfq",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2022-03-27T09:06:40.906Z",
          "host" : {
            "id" : "9af179e266064a09adf2bf75e67f0f3c",
            "containerized" : false,
            "ip" : [
              "192.168.100.101",
              "fe80::20c:29ff:fe4c:770"
            ],
            "mac" : [
              "00:0c:29:4c:07:70"
            ],
            "name" : "vlsr01.zicher.lab",
            "hostname" : "vlsr01.zicher.lab",
            "architecture" : "x86_64",
            "os" : {
              "platform" : "centos",
              "version" : "8",
              "family" : "redhat",
              "name" : "CentOS Stream",
              "kernel" : "4.18.0-373.el8.x86_64",
              "type" : "linux"
            }
          },

[root@vlsr01 ~]# systemctl enable --now filebeat

[4] Jeśli Kibana jest uruchomiona, możliwe jest importowanie danych do przykładowych Dashboardów.

[root@vlsr01 ~]# filebeat setup --dashboards
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards