Assuré vous que les paquets suivant soit installés:
apt -y install apt-transport-https gnupg2
Téléchargement de la clé public:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Ajouter le dépot open source d'elastic:
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Mettre a jour la liste des paquets:
apt update
Installé le paquet filebeat:
apt -y install filebeat
ajouter automatiquement le demarrage du service au demarrage:
systemctl enable filebeat
Activer les modules nécessaire de filebeat:
filebeat modules enable system nginx mysql apache
Pour connaitre la liste des module disponible:
filebeat modules list
editer le fichier /etc/filebeat/filebeat.yml:
dans la section filebeat.inputs:
- type: filestream
#Change to true to enable this input configuration.
enabled: true
#Paths that should be crawled and fetched. Glob based paths.
paths:
- /var/log/*.log
- /usr/local/jss/logs/*.log
puis décommenter la section output.logstash si votre solution de centralisation est ELK ou Graylog:
output.logstash:
# le serveur logstash/graylog
hosts: ["serveur exemple.com:5044"]
enfin redemarrer le service filebeat:
systemctl restart filebeat
Pour installer un serveur graylog suivez ce lien.