Segmentation de la configuration de logstash et envois de logs avec filebeat
Par pepin le samedi, août 26 2017, 19:59 - Elasticsearch - Lien permanent
Pour installer Filebeat :
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-5.5.2-amd64.deb
sudo dpkg -i filebeat-5.5.2-amd64.deb
Pour ajouter un input filebeat dans logstash, il suffit d'ajouter a la section input le segment suivant :
beats {
host => "mylogstashserver.mydomain"
port => 5044
type => "beat"
}
et avoir un bloc output qui accepte beats. J'ai simplifié mon output pour ne plus avoir de "if type";
output {
elasticsearch {
hosts => [ "127.0.0.1:9200" ]
}
}
Nous pouvons aussi segmenter la confiduration de logstash comme pour rsyslog. Dans mon cas, j'ai fait les fichiers suivants :
01-input.conf
, qui précise les inputs rsyslog et beat
10-ssh.conf
, qui contient un bloc filter pour groker les logs ssh et permettre leurs étiquetage et la géolicalisation du résultat
20-apache.conf
, qui contient un bloc filter pour groker les logs apache et permettre leurs étiquetage et la géolicalisation du résultat
30-outputs.conf
, qui définit que tous les logs sont envoyés au serveur ElasticSearch.