以下、rootユーザーで実行しています。
1. Filebeatのインストール
下記のコマンドを実行します。
ElasticsearchやKibanaを事前にインストールしている環境であればリポジトリの登録は不要です。
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list
apt update
apt install filebeat
2. filebeat.ymlの編集
filebeat.ymlに以下のパラメーターを追加します。
/etc/filebeat/filebeat.yml
setup.dashboards.enabled: true
setup.kibana:
host: "XX.XX.XX.XX:5601" # KibanaサーバーのIPアドレス
output.elasticsearch:
hosts: ["XX.XX.XX.XX:9200"] # ElasticsearchサーバーのIPアドレス
3. Syslog関連のモジュールの有効化
下記のコマンドを実行します。
filebeat modules enable system
4. 起動
下記のコマンドを実行します。
systemctl start filebeat
4. 動作確認
下記のコマンドを実行して検索クエリを送って検索結果としてシスログが何かしら返ってくれば、正常にシスログを取得出来ています。
curl -XGET "http://XX.XX.XX.XX(ElasticsearchサーバーのIPアドレス):9200/filebeat-7.3.0/_search" -H 'Content-Type: application/json' -d'{ "query": { "match_all": {} }}'
もしくは、KibanaコンソールでManagement->Index Managementを開いて、Filebeatのインデックスが表示されるか確認します。
