Pour installer Filebeat :

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.5.2-amd64.deb
sudo dpkg -i filebeat-5.5.2-amd64.deb

Pour ajouter un input filebeat dans logstash, il suffit d'ajouter a la section input le segment suivant :

beats {
host => "mylogstashserver.mydomain"
port => 5044
type => "beat"
}

et avoir un bloc output qui accepte beats. J'ai simplifié mon output pour ne plus avoir de "if type";

output {
elasticsearch {
hosts => [ "127.0.0.1:9200" ]
}
}

Nous pouvons aussi segmenter la confiduration de logstash comme pour rsyslog. Dans mon cas, j'ai fait les fichiers suivants :

01-input.conf

, qui précise les inputs rsyslog et beat

10-ssh.conf

, qui contient un bloc filter pour groker les logs ssh et permettre leurs étiquetage et la géolicalisation du résultat

20-apache.conf

, qui contient un bloc filter pour groker les logs apache et permettre leurs étiquetage et la géolicalisation du résultat

30-outputs.conf

, qui définit que tous les logs sont envoyés au serveur ElasticSearch.