Dans cet article, nous vous avons expliqué les étapes nécessaires pour installer et configurer Filebeat sur CentOS 8. Avant de poursuivre ce tutoriel, assurez-vous d'être connecté en tant qu'utilisateur avec sudo privilèges. Toutes les commandes de ce didacticiel doivent être exécutées en tant qu'utilisateur non root.
Filebeat est un expéditeur léger pour transférer et centraliser les données de journal. Installé en tant qu'agent sur vos serveurs, Filebeat surveille les fichiers journaux ou les emplacements que vous spécifiez, collecte les événements de journal et les transmet à Elasticsearch ou Logstash pour indexation.
Installer Filebeat sur CentOS 8
Étape 1. La première commande mettra à jour les listes de packages pour vous assurer d'obtenir la dernière version et les dernières dépendances.
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm sudo dnf update
Étape 2. Installez ELK Stack.
Donc, vous devrez configurer Ubuntu en tant que pile ELK. Si vous ne l'avez pas déjà fait, utilisez notre guide d'installation traditionnel ELK Stack pour configurer Ubuntu avant de continuer.
Étape 3. Installez Filebeat sur le système CentOS.
Installer la clé de signature GPG du dépôt Elastic Stack :
sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Ensuite, ajoutez le dépôt Elastic Stack sur CentOS 8 :
cat > /etc/yum.repos.d/elasticstack.repo << EOL [elasticstack] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOL
Pour installer Filebeat, ouvrez une fenêtre de terminal et exécutez la commande :
sudo dnf update sudo dnf install filebeat
Ensuite, démarrez et activez Filebeat pour qu'il s'exécute au démarrage du système :
systemctl enable --now filebeat systemctl status filebeat
Étape 4. Configurez Filebeat.
La sortie Filebeat est définie dans le fichier de configuration Filebeat, /etc/filebeat/filebeat.yml
nano /etc/filebeat/filebeat.yml
Elasticsearch est la sortie par défaut. Tout ce que vous avez à faire est de mettre à jour l'adresse IP, Elasticsearch, qui est définie sur localhost par défaut :
... #================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] hosts: ["192.168.77.21:9200"] ...
Si vous poussez plutôt les données d'événement vers Logstash, commentez la sortie Elasticsearch et définissez la sortie Logstash comme indiqué ci-dessous :
#================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ #output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] # Protocol - either `http` (default) or `https`. #protocol: "https" # Authentication credentials - either API key or username/password. #api_key: "id:api_key" #username: "elastic" #password: "meilana" #----------------------------- Logstash output -------------------------------- output.logstash: # The Logstash hosts #hosts: ["localhost:5044"] hosts: ["192.168.77.21:5044"]
Ensuite, ajoutez le module système, qui examinera les journaux système locaux :
sudo filebeat modules enable system
Après cela, exécutez la configuration de Filebeat :
sudo filebeat setup
Le système effectuera un certain travail, en analysant votre système et en se connectant à votre tableau de bord Kibana.
Félicitations, vous avez appris à installer et configurer Filebeat sur CentOS 8. Si vous avez des questions, veuillez laisser un commentaire ci-dessous.