Site icon RDR-IT

Ubuntu : configurer filebeat

Après voir vue comment installer filebeat sur Ubuntu, voici comment le configurer.

En fonction de la configuration de votre stack ELK, il faut soit configurer l’envoie logstach ou directement à Elasticsearch.

Pour ma part, cela sera directement à ELK

1. Afficher la liste des modules disponibles :

sudo filebeat modules list

2. Activer les modules nécessaires que vous avez besoin, cela dépend des services du serveur

sudo filebeat modules enable system nginx

3. Ouvrir le fichier de configuration de filebeat

sudo nano /etc/filebeat/filebeat.yml

4. Rechercher la section Outputs et configurer filebeat pour envoyer les logs au serveur ELK

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["localhost:9200"]

  # Protocol - either `http` (default) or `https`.
  #protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  #username: "elastic"
  #password: "changeme"

5. Activer le service filebeat :

sudo systemctl enable filebeat

6. Démarrer filebeat :

sudo systemctl start filebeat

Les logs devrait commencer à être envoyés à ELK

Quitter la version mobile