filebeat是与日志相关的组件,可以查看系统日志,攻击来源等等
1、配置yum源
vim /etc/yum.repo/filebeat.repo
[elastic-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
2、安装
yum install filebeat -y
3、配置filebeat
output.elasticsearch:
hosts: [“172.20.100.122:9200”]
setup.kibana:
host: “172.20.100.122:5601”
退出保存
4、加载面板
filebeat setup --dashboards
5、安装system模块(模块位于/etc/filebeat/modules.d/)
filebeat modules enable system
6、启动filebeat
systemctl start filebeat
systemctl enable filebeat
7、加载配置文件
filebeat -e -c filebeat.yml
9、kibana页面展示查看filebeat日志信息
filebeat日志面板
syslog日志面板
ssh login面板
上面这个图应该会有登录错误者的地理位置信息,不知道为什么我这里没有显示出来。
补充:
在启动system模块的时候,不编辑/etc/filebeat/modules.d/system.yml,这个文件的时候,默认filebeat加载的文件路径是Configured paths: [/var/log/auth.log* /var/log/secure*]
如果编辑了/etc/filebeat/modules.d/system.yml,例如:
[root@cn-zstack-db-back ~]# cat /etc/filebeat/modules.d/system.yml
- module: systemSyslog syslog:
enabled: true
var.paths: ["/var/log/syslogdevice/WQ_cndh1323_USGVPN/*.log","/var/log/syslogdevice/WQ_23_CE8860_M/*.log"]
那么加载的文件路径就是:
Configured paths: [/var/log/auth.log* /var/log/secure*]
Configured paths: [/var/log/syslogdevice/WQ_cndh1323_USGVPN/.log /var/log/syslogdevice/WQ_23_CE8860_M/.log]
可以通过执行filebeat -e -c filebeat.yml看到