In questo articolo, avremo spiegato i passaggi necessari per installare e configurare Filebeat su CentOS 8. Prima di continuare con questo tutorial, assicurati di aver effettuato l'accesso come utente con sudo privilegi. Tutti i comandi in questo tutorial devono essere eseguiti come utente non root.
Filebeat è un mittente leggero per l'inoltro e la centralizzazione dei dati di registro. Installato come agente sui tuoi server, Filebeat monitora i file di registro o le posizioni specificate, raccoglie gli eventi di registro e li inoltra a Elasticsearch o Logstash per l'indicizzazione.
Installa Filebeat su CentOS 8
Passaggio 1. Il primo comando aggiornerà gli elenchi dei pacchetti per assicurarti di ottenere l'ultima versione e le dipendenze.
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm sudo dnf update
Passaggio 2. Installa ELK Stack.
Quindi, dovrai configurare Ubuntu come stack ELK. Se non l'hai già fatto, usa la nostra guida all'installazione tradizionale di ELK Stack per configurare Ubuntu prima di continuare.
Passaggio 3. Installa Filebeat sul sistema CentOS.
Installa la chiave di firma GPG del repository Elastic Stack:
sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Quindi, aggiungi il repository Elastic Stack su CentOS 8:
cat > /etc/yum.repos.d/elasticstack.repo << EOL [elasticstack] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOL
Per installare Filebeat, apri una finestra di terminale ed esegui il comando:
sudo dnf update sudo dnf install filebeat
Successivamente, avvia e abilita Filebeat per l'esecuzione all'avvio del sistema:
systemctl enable --now filebeat systemctl status filebeat
Passaggio 4. Configura Filebeat.
L'output di Filebeat è definito nel file di configurazione di Filebeat, /etc/filebeat/filebeat.yml
nano /etc/filebeat/filebeat.yml
Ricerca elastica è l'output predefinito. Tutto quello che devi fare è aggiornare l'indirizzo IP, Elasticsearch, che è impostato su localhost per impostazione predefinita:
... #================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] hosts: ["192.168.77.21:9200"] ...
Se invece stai inviando i dati degli eventi a Logstash, commenta l'output di Elasticsearch e definisci l'output di Logstash come mostrato di seguito:
#================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ #output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] # Protocol - either `http` (default) or `https`. #protocol: "https" # Authentication credentials - either API key or username/password. #api_key: "id:api_key" #username: "elastic" #password: "meilana" #----------------------------- Logstash output -------------------------------- output.logstash: # The Logstash hosts #hosts: ["localhost:5044"] hosts: ["192.168.77.21:5044"]
Successivamente, aggiungi il modulo di sistema, che esaminerà i log di sistema locali:
sudo filebeat modules enable system
Dopo, esegui la configurazione di Filebeat:
sudo filebeat setup
Il sistema eseguirà un po' di lavoro, scansionando il tuo sistema e collegandosi alla dashboard di Kibana.
Congratulazioni, hai imparato come installare e configurare Filebeat su CentOS 8. Se hai domande, lascia un commento qui sotto.