Après voir vue comment installer filebeat sur Ubuntu, voici comment le configurer.
En fonction de la configuration de votre stack ELK, il faut soit configurer l’envoie logstach ou directement à Elasticsearch.
Pour ma part, cela sera directement à ELK
1. Afficher la liste des modules disponibles :
sudo filebeat modules list
2. Activer les modules nécessaires que vous avez besoin, cela dépend des services du serveur
sudo filebeat modules enable system nginx
3. Ouvrir le fichier de configuration de filebeat
sudo nano /etc/filebeat/filebeat.yml
4. Rechercher la section Outputs et configurer filebeat pour envoyer les logs au serveur ELK
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["localhost:9200"]
# Protocol - either `http` (default) or `https`.
#protocol: "https"
# Authentication credentials - either API key or username/password.
#api_key: "id:api_key"
#username: "elastic"
#password: "changeme"
5. Activer le service filebeat :
sudo systemctl enable filebeat
6. Démarrer filebeat :
sudo systemctl start filebeat
Les logs devrait commencer à être envoyés à ELK