Panduan ini membahas cara menginstal dan mengkonfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8. Ini hadir sebagai bagian terakhir dari panduan kami tentang cara mengatur Elastic Stack di Ubuntu 18.04/Debian 9.8. Kami telah membahas instalasi Elasticsearch, Kibana dan Logstash di panduan kami sebelumnya. Lihat Tautan di bawah ini;
Instal Elasticsearch 7.x di Ubuntu 18.04/Debian 9.8
Instal Kibana 7 di Ubuntu 18.04/Debian 9.8
Instal dan Konfigurasikan Logstash 7 di Ubuntu 18/Debian 9.8
Jadi apa itu Filebeat? Filebeat adalah pengirim ringan untuk mengumpulkan, meneruskan, dan memusatkan data log peristiwa. Itu diinstal sebagai agen di server tempat Anda mengumpulkan log. Itu dapat meneruskan log yang dikumpulkannya ke Elasticsearch atau Logstash untuk pengindeksan.
Ada jenis Beats lain seperti yang dijelaskan di sini.
Dalam panduan ini, Filebeat dikonfigurasikan untuk meneruskan log peristiwa, peristiwa otentikasi SSH ke Logstash.
Instal dan Konfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8
Tambahkan Repositori Elastis Stack 7 APT
Filebeat dapat diinstal menggunakan manajer paket APT dengan membuat repo Elastic Stack di server tempat Anda ingin mengumpulkan log.
Jalankan perintah di bawah ini untuk mengdownload dan menginstal kunci penandatanganan publik Elastic Stack Repo
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Buat repositori Elastic Stack 7 Apt.
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Instal Filebeat 7.x
apt install apt-transport-https
apt update
apt install filebeat
Setelah instalasi selesai, Anda dapat memverifikasi versi dengan menjalankan;
apt-cache policy filebeat
filebeat: Installed: 7.0.0 Candidate: 7.0.0 Version table: *** 7.0.0 500 500 https://artifacts.elastic.co/packages/7.x/apt stable/main amd64 Packages 100 /var/lib/dpkg/status
Konfigurasi Filebeat 7
Secara default, Filebeat diatur untuk mengirim data ke Elasticsearc. Dalam panduan ini, Logstash dikonfigurasi untuk menerima data peristiwa dari Filebeat.
Oleh karena itu, buka file konfigurasi Filebeat, /etc/filebeat/filebeat.yml, dan di bawah bagian Output, beri komentar pada output Elasticsearch dan aktifkan Logstash Output seperti yang ditunjukkan di bawah ini;
vim /etc/filebeat/filebeat.yml
... #================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ # output.elasticsearch: # Array of hosts to connect to. # hosts: ["localhost:9200"] # Optional protocol and basic auth credentials. #protocol: "https" #username: "elastic" #password: "changeme" #----------------------------- Logstash output -------------------------------- output.logstash: # Logstash hosts hosts: ["192.168.0.101:5044"]...
Menguji koneksi Output Filebeat;
systemctl stop filebeat
filebeat -e test output
logstash: 192.168.0.101:5044... connection... parse host... OK dns lookup... OK addresses: 192.168.0.101 dial up... OK TLS... WARN secure connection disabled talk to server... OK
Menguji Konfigurasi untuk error apa pun
filebeat -e test config
Jika semuanya baik-baik saja, Anda harus mendapatkan, Config OK dari keluaran.
Aktifkan Modul Sistem Filebeat
Jika Anda ingat, Filter Logstash kami dikonfigurasi untuk mengurai peristiwa autentikasi sistem. Modul sistem mengumpulkan dan mem-parsing log yang dibuat oleh service pencatatan sistem dari distribusi umum berbasis Unix/Linux. Modul ini dinonaktifkan secara default. Anda dapat membuat daftar modul seperti yang ditunjukkan di bawah ini. Dari output, tidak ada modul yang diaktifkan.
filebeat modules list
Enabled: Disabled: apache auditd elasticsearch haproxy icinga iis iptables kafka kibana logstash mongodb mysql nginx osquery postgresql redis santa suricata system traefik zeek
Anda juga dapat memeriksa dari file konfigurasi modul;
ls /etc/filebeat/modules.d/
apache.yml.disabled kafka.yml.disabled postgresql.yml.disabled auditd.yml.disabled kibana.yml.disabled redis.yml.disabled elasticsearch.yml.disabled logstash.yml.disabled santa.yml.disabled haproxy.yml.disabled mongodb.yml.disabled suricata.yml.disabled icinga.yml.disabled mysql.yml.disabled system.yml.disabled iis.yml.disabled nginx.yml.disabled traefik.yml.disabled iptables.yml.disabled osquery.yml.disabled zeek.yml.disabled
Untuk mengaktifkan modul sistem, jalankan perintah di bawah ini;
filebeat modules enable system
Untuk memverifikasi bahwa modul sistem telah diaktifkan;
filebeat modules list
Enabled: system Disabled: apache auditd...
Ini akan menghapus disabled akhiran dari modul sistem.
Anda dapat memodifikasi modul sistem lebih lanjut untuk hanya membaca log autentikasi. Melihatvar.paths
vim /etc/filebeat/modules.d/system.yml
- module: system # Syslog syslog: enabled: false... # Authorization logs auth: enabled: true # Set custom paths for the log files. If left empty, # Filebeat will choose the paths depending on your OS. var.paths: ["/var/log/auth.log"]...
Muat template indeks di Elasticsearch
untuk memuat template indeks ke Elasticsearch, harus ada koneksi ke Elasticsearch. Karena panduan kami menggunakan Logstash sebagai output, kami akan memuat template ke Elasticsearch secara manual seperti yang ditunjukkan di bawah ini;
Verifikasi koneksi ke Elasticsearch
telnet 192.168.0.101 9200
Trying 192.168.0.101... Connected to 192.168.0.101. Escape character is '^]'.
Muat Template Indeks
filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["192.168.0.101:9200"]'
Anda melihat outputnya.
Index setup complete.
Jika host tidak memiliki konektivitas langsung ke Elasticsearch, Anda dapat membuat template indeks, menyalinnya ke Elastic Stack Server, dan menginstalnya secara lokal.
Untuk menghasilkan template;
filebeat export template > filebeat.template.json
Untuk menginstal template di server Elastic Stack, copy dan jalankan secara lokal di server Elastic Stack.
curl -XPUT -H 'Content-Type: application/json' http://localhost:9200/_template/filebeat-7.0.1 [email protected]
Setelah Anda selesai melakukannya, mulai dan aktifkan Filebeat untuk berjalan pada boot sistem.
systemctl start filebeat systemctl enable filebeat
Verifikasi Penerimaan Data Elasticsearch
Selanjutnya, lakukan successful and failed login pada sistem dengan Filebeat diinstal.
Setelah itu login ke server Elastic Stack dan verifikasi apakah Elasticsearch menerima data.
curl -X GET 192.168.0.101:9200/_cat/indices?v
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size yellow open filebeat-7.0.0-2019.05.01-000001 3vhNqUvLS6CTgJQlSkp1Lg 1 1 0 0 283b 283b green open.kibana_1 w-vOaD46QGa7LldMAvJVtw 1 0 3 1 20kb 20kb yellow open ssh_auth-2019.05 TyZHEQx_SR2q05a8yC EU-A 1 1 5940 0 2.2mb 2.2mb green open.kibana_task_manager XhZ5kmOMRzWvQ3VDEvoNRA 1 0 2 0 45.4kb 45.4kb
Seperti yang Anda lihat, status kesehatan indeks kami adalah yellow. Ini berarti bahwa semua data tersedia tetapi beberapa replika belum dialokasikan, untuk kasus kami, ini adalah penyebaran node tunggal.
yellow open ssh_auth-2019.05 TyZHEQx_SR2q05a8yCEU-A 1 1 5940 0 2.2mb 2.2mb
Periksa indeks ssh_auth-2019.05;
curl -X GET 192.168.0.101:9200/ssh_auth-*/_search?pretty
{ "took" : 948, "timed_out" : false, "_shards" : { "total" : 1, "successful" : 2, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 6405, "relation" : "eq" }, "max_score" : 1.0, "hits" : [ { "_index" : "ssh_auth-2019.05", "_type" : "_doc",...
Selanjutnya, Login ke dasbor Kibana dan tambahkan file index.
Klik Langkah berikutnya untuk mengatur stempel waktu. Setelah klikCreate index pattern untuk membuat indeks Anda.
Setelah indeks dibuat, klik tab Discover di panel kiri. Anda harus dapat melihat data Anda.
Untuk menguji ini, lakukan login ssh yang gagal ke engine host dengan Filebeat terinstal dan cari kata kunci failed, di Kibana dasbor.
Anda kemudian dapat melanjutkan untuk membuat dasbor Kibana setelah Anda mendapatkan semua data yang Anda butuhkan. Nah, itu saja tentang cara menginstal dan mengkonfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8. Kami akan membahas konfigurasi dasbor Kibana di panduan kami berikutnya.
Referensi:
Memulai dengan Filebeat
Panduan Terkait Lainnya:
Cara Men-debug Filter Logstash Grok
Instal Logstash 7 di Fedora 30/Fedora 29/CentOS 7
Instal Elastic Stack 7 di Fedora 30/Fedora 29/CentOS 7