Agent Filebeat

Vous trouverez ci dessous le nécessaire pour installer l'agent Filebeat sur un client Ubuntu 20.04.

Assuré vous que les paquets suivant soit installés:

apt -y install apt-transport-https gnupg2

Téléchargement de la clé public:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Ajouter le dépot open source d'elastic:

echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Mettre a jour la liste des paquets:

apt update

Installé le paquet filebeat:

apt -y install filebeat

ajouter automatiquement le demarrage du service au demarrage:

systemctl enable filebeat

Activer les modules nécessaire de filebeat:

filebeat modules enable system nginx mysql apache

Pour connaitre la liste des module disponible:

filebeat modules list

editer le fichier /etc/filebeat/filebeat.yml:

dans la section filebeat.inputs:

- type: filestream

  #Change to true to enable this input configuration.
  enabled: true

  #Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /var/log/*.log
    - /usr/local/jss/logs/*.log

puis décommenter la section output.logstash si votre solution de centralisation est ELK ou Graylog:

output.logstash:
  # le serveur logstash/graylog
  hosts: ["serveur exemple.com:5044"]

enfin redemarrer le service filebeat:

systemctl restart filebeat

Pour installer un serveur graylog suivez ce lien.