Dalam panduan ini, kita akan mempelajari cara menginstal Filebeat di Fedora 30/Fedora 29/CentOS 7. Filebeat adalah pengirim ringan untuk mengumpulkan, meneruskan, dan memusatkan data log peristiwa. Itu diinstal sebagai agen di server tempat Anda mengumpulkan log. Itu dapat meneruskan log yang dikumpulkannya ke Elasticsearch atau Logstash untuk pengindeksan.
Untuk menyiapkan Elastic Stack, ikuti tautan di bawah ini.
Instal Elastic Stack 7 di Fedora 30/Fedora 29/CentOS 7
Instal Filebeat di Fedora 30/Fedora 29/CentOS 7
Dengan asumsi Anda telah menyiapkan Elastic Stack, lanjutkan untuk menginstal Filebeat untuk mengumpulkan log sistem Anda untuk diproses. Dalam panduan ini, kita akan mengonfigurasi Filebeat untuk mengumpulkan log otentikasi sistem untuk diproses.
Perbarui paket sistem Anda.
yum update yum upgrade
Selanjutnya, instal Filebeat di Fedora 30/Fedora 29/CentOS 7. Instalasi dapat dilakukan menggunakan biner RPM atau menggunakan repo YUM.
Instal Filebeat 7 menggunakan Repositori RPM
Impor kunci GPG penandatanganan repositori.
sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Selanjutnya, instal repo YUM Elastis.
cat > /etc/yum.repos.d/elastic-7.x.repo << EOF [elasticsearch-7.x] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
Instal Filebeat.
yum install filebeat
Instal Filebeat Menggunakan RPM Binary
Download biner dengan menjalankan perintah di bawah ini;
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.2.0-x86_64.rpm
Instal Filebeat
yum localinstall filebeat-7.2.0-x86_64.rpm
Konfigurasikan Filebeat 7 di Fedora 30/Fedora 29/CentOS 7
Konfigurasikan Output Filebeat
Selanjutnya, konfigurasikan Filebeat untuk mengirim data peristiwa ke stack Elastis. Filebeat dapat mengirimkan log langsung ke Elasticsearch atau ke Logstash atau keluaran lainnya. Output Filebeat didefinisikan pada file konfigurasi Filebeat,/etc/filebeat/filebeat.yml.
Untuk mengirim data peristiwa atau log peristiwa langsung ke Elasticsearch, buka file konfigurasi dan tentukan output Elasticsearch sebagai berikut;
vim /etc/filebeat/filebeat.yml
Elasticsearch adalah output default. Yang perlu Anda lakukan adalah memperbarui alamat IP, Elasticsearch, yang diatur ke localhost secara default;
... #================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] hosts: ["192.168.43.75:9200"]...
Jika Anda malah mendorong data peristiwa ke Logstash, beri komentar pada keluaran Elasticsearch dan tentukan keluaran Logstash seperti yang ditunjukkan di bawah ini;
#================================ Outputs ===================================== # Configure what output to use when sending the data collected by the beat. #-------------------------- Elasticsearch output ------------------------------ #output.elasticsearch: # Array of hosts to connect to. #hosts: ["localhost:9200"] # Protocol - either `http` (default) or `https`. #protocol: "https" # Authentication credentials - either API key or username/password. #api_key: "id:api_key" #username: "elastic" #password: "changeme" #----------------------------- Logstash output -------------------------------- output.logstash: # Logstash hosts #hosts: ["localhost:5044"] hosts: ["192.168.43.75:5044"]
Untuk setiap output yang dipilih, pastikan port dapat dijangkau. Misalnya Anda dapat memverifikasi koneksi ke Logstash;
telnet 192.168.43.75 5044
Trying 192.168.43.75... Connected to 192.168.43.75. Escape character is '^]'.
Demikian pula, jika Anda menggunakan Elasticsearch secara langsung, pastikan Anda dapat mencapai port 9200/tcp.
Aktifkan Modul Sistem Filebeat
Dalam pengaturan ini, Logstash kami dikonfigurasi untuk memproses peristiwa otentikasi sistem. Oleh karena itu, aktifkan modul Sistem yang mengumpulkan dan mem-parsing log yang dibuat oleh service pencatatan sistem dari distribusi umum berbasis Unix/Linux. Modul ini dinonaktifkan secara default.
filebeat modules enable system
Enabled system
Konfigurasikan modul sistem untuk membaca log autentikasi saja. Cukup atur nilai syslog kefalse.
vim /etc/filebeat/modules.d/system.yml
... - module: system # Syslog syslog: enabled: false # Set custom paths for the log files. If left empty, # Filebeat will choose the paths depending on your OS. #var.paths: # Convert the timestamp to UTC. Requires Elasticsearch >= 6.1. #var.convert_timezone: false # Authorization logs auth: enabled: true # Set custom paths for the log files. If left empty, # Filebeat will choose the paths depending on your OS. var.paths: ["/var/log/secure"]...
Muat template indeks di Elasticsearch
Jika Anda mengirim data langsung ke Elasticsearch, Filebeat akan memuat template secara otomatis setelah berhasil terhubung ke Elasticsearch.
Namun, jika Anda menggunakan Logstash sebagai engine proses data peristiwa, Anda perlu memuat template indeks secara manual ke Elasticsearch. Oleh karena itu, pastikan bahwa ada koneksi ke Elasticsearch sebelum Anda dapat memuat template indeks.
telnet 192.168.43.75 9200
Trying 192.168.43.75... Connected to 192.168.43.75. Escape character is '^]'.
Jika semuanya baik-baik saja., muat template.
filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["192.168.43.75:9200"]'
Jika Anda melihat outputnya, Index setup finished, pemuatan template berhasil.
Jika host tidak memiliki konektivitas langsung ke Elasticsearch, Anda dapat membuat template indeks, menyalinnya ke Elastic Stack Server, dan menginstalnya secara lokal.
Untuk menghasilkan template;
filebeat export template > filebeat.template.json
Untuk menginstal template di server Elastic Stack, copy dan jalankan secara lokal di server Elastic Stack.
curl -XPUT -H 'Content-Type: application/json' http://192.168.43.75:9200/_template/filebeat-7.0.2 [email protected]
Setelah Anda selesai melakukannya, mulai dan aktifkan Filebeat untuk berjalan pada boot sistem.
systemctl enable --now filebeat
Anda dapat menjalankan Filebeat dalam mode debug menggunakan perintah di bawah ini;
systemctl stop filebeat
filebeat -e -c filebeatconfig.yml
Secara default, /etc/filebeat/filebeat.ymldigunakan. Karenanya, Anda bisa berlari;
filebeat -e
Tekan Ctrl+C untuk membatalkan dan kemudian memulainya;
systemctl start filebeat
Verifikasi Penerimaan Data Indeks Elasticsearch
Setelah konfigurasi di atas, simulasikan otentikasi SSH yang gagal dan berhasil ke server tempat Filebeat berjalan. Setelah selesai, masuk ke server stack Elastis dan verifikasi penerimaan data.
curl -X GET 192.168.43.75:9200/_cat/indices?v
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open.kibana_task_manager xQztoO5CR oygONVw6ujEVg 1 0 2 18 27.8kb 27.8kb yellow open ssh_auth-2019.07 f6lBK5osQemJEb1lUtwGEQ 1 1 41 0 118.9kb 118.9kb green open.kibana_1 1iR0TWklToSzoEBeZiE1Dg 1 0 3 1 43.2kb 43.2kb yellow open filebeat-7.2.0-2019.07.02-000001 nelIPqlOSfKzGidOOk5C4g 1 1 0 0 283b 283b
Setelah itu, lanjutkan ke Kibana dan Create Index Pattern. Lihat panduan kami tentang menyiapkan Elastic Stack 7 di Fedora 30/Fedora 29/CentOS 7.
Anda sekarang seharusnya dapat melihat acara otentikasi SSH Anda.
SSH berhasil Login
SSH gagal login
Selamat. Itu saja tentang cara menginstal Filebeat di Fedora 30/Fedora 29/CentOS 7. Selamat menikmati.
Panduan Terkait Lainnya:
Instal dan Konfigurasikan Logstash 7 di Ubuntu 18/Debian 9.8
Instal dan Konfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8
Instal Elastic Stack 7 di Ubuntu 18.04/Debian 9.8
Instal Elasticsearch 7.x di Ubuntu 18.04/Debian 9.8