| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| tachtler:graylog_archlinux_-_elastic_-_beats_-_filebeats [2023/05/13 15:49] – [Vorbereitung] klaus | tachtler:graylog_archlinux_-_elastic_-_beats_-_filebeats [2023/07/31 13:42] (aktuell) – [filebeat: Erster Start] klaus |
|---|
| * ''/etc/filebeat-oss/ssl/private/filebeat.idmz.tachtler.net.key'' | * ''/etc/filebeat-oss/ssl/private/filebeat.idmz.tachtler.net.key'' |
| * ''/etc/filebeat-oss/ssl/certs/filebeat.idmz.tachtler.net.pem'' | * ''/etc/filebeat-oss/ssl/certs/filebeat.idmz.tachtler.net.pem'' |
| * ''/etc/filebeat-oss//ssl/certs/CAcert.pem'' | * ''/etc/filebeat-oss/ssl/certs/CAcert.pem'' |
| können mit folgenden Befehlen die **Besitz**rechte wie folgt korrigiert werden: | können mit folgenden Befehlen die **Besitz**rechte wie folgt korrigiert werden: |
| <code> | <code> |
| -r-------- 1 root root 1675 Apr 10 14:59 filebeat.idmz.tachtler.net.key | -r-------- 1 root root 1675 Apr 10 14:59 filebeat.idmz.tachtler.net.key |
| </code> | </code> |
| ===== Installation: filebeat-oss-bin ===== | ===== Installation: filebeat ===== |
| |
| Nachdem das ''AUR''-Repository von [[https://aur.archlinux.org//|ArchLinux - AUR]] | Nachdem das ''AUR''-Repository von [[https://aur.archlinux.org//|ArchLinux - AUR]] |
| </code> | </code> |
| ++++ | ++++ |
| | |
| | ===== Konfiguration: filebeat ===== |
| |
| ==== /etc/filebeat-oss/filebeat.yml ==== | ==== /etc/filebeat-oss/filebeat.yml ==== |
| # Tachtler | # Tachtler |
| # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] | # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] |
| ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"] | ssl.certificate_authorities: ["/etc/filebeat-oss/ssl/certs/CAcert.pem"] |
| |
| # Certificate for SSL client authentication | # Certificate for SSL client authentication |
| # Tachtler | # Tachtler |
| # default: #ssl.certificate: "/etc/pki/client/cert.pem" | # default: #ssl.certificate: "/etc/pki/client/cert.pem" |
| ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem" | ssl.certificate: "/etc/filebeat-oss/ssl/certs/filebeat-oss.idmz.tachtler.net.pem" |
| |
| # Client Certificate Key | # Client Certificate Key |
| # Tachtler | # Tachtler |
| # default: ssl.key: "/etc/pki/client/cert.key" | # default: ssl.key: "/etc/pki/client/cert.key" |
| ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key" | ssl.key: "/etc/filebeat-oss/ssl/private/filebeat-oss.idmz.tachtler.net.key" |
| |
| # Tachtler - DISABLED, only for testing! - | # Tachtler - DISABLED, only for testing! - |
| # Tachtler | # Tachtler |
| # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] | # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] |
| ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]</code> | ssl.certificate_authorities: ["/etc/filebeat-oss/ssl/certs/CAcert.pem"]</code> |
| |
| Hier kann eine **ROOT-Zertifikatsdatei** oder eine Datei mit mehreren ROOT-Zertifikaten z.B. auch ''/etc/ssl/cert.pem'' angegeben werden, in dem, wie schon erwähnt, sich das ROOT-Zertifikat oder die ROOT-Zertifikate befinden, mit Hilfe das Zertifikat für den [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] ausgestellt wurde - hier ein ROOT-Zertifikate - ''ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]''. | Hier kann eine **ROOT-Zertifikatsdatei** oder eine Datei mit mehreren ROOT-Zertifikaten z.B. auch ''/etc/ssl/cert.pem'' angegeben werden, in dem, wie schon erwähnt, sich das ROOT-Zertifikat oder die ROOT-Zertifikate befinden, mit Hilfe das Zertifikat für den [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] ausgestellt wurde - hier ein ROOT-Zertifikate - ''ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]''. |
| # Tachtler | # Tachtler |
| # default: #ssl.certificate: "/etc/pki/client/cert.pem" | # default: #ssl.certificate: "/etc/pki/client/cert.pem" |
| ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"</code> | ssl.certificate: "/etc/filebeat-oss/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"</code> |
| |
| Hier kann die **Zertifikatsdatei** - ''ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"'' angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. | Hier kann die **Zertifikatsdatei** - ''ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"'' angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. |
| # Tachtler | # Tachtler |
| # default: ssl.key: "/etc/pki/client/cert.key" | # default: ssl.key: "/etc/pki/client/cert.key" |
| ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"</code> | ssl.key: "/etc/filebeat-oss/ssl/private/filebeat-oss.idmz.tachtler.net.key"</code> |
| |
| Hier kann die **Schlüsseldatei** - ''ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"'' - zur Zertifikatsdatei angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. | Hier kann die **Schlüsseldatei** - ''ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"'' - zur Zertifikatsdatei angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. |
| Hier kann, zu **Test-Zwecken** die Überprüfung des **Zertifikats** des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] deaktiviert werden, falls z.B. ein **Self-Signet-Zertifikat** zum Einsatz kommt, dessen ROOT-Zertifikat sich nicht im allgemeinen Zertifikatsspeicher befindet, oder bei dem das ROOT-Zertifikat nicht zur Vefügung steht. | Hier kann, zu **Test-Zwecken** die Überprüfung des **Zertifikats** des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] deaktiviert werden, falls z.B. ein **Self-Signet-Zertifikat** zum Einsatz kommt, dessen ROOT-Zertifikat sich nicht im allgemeinen Zertifikatsspeicher befindet, oder bei dem das ROOT-Zertifikat nicht zur Vefügung steht. |
| |
| | ==== filebeat: Dienst/Deamon-Start einrichten ==== |
| |
| | Um [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]], welches als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann: |
| | <code> |
| | # systemctl enable filebeat-oss.service |
| | Created symlink /etc/systemd/system/multi-user.target.wants/filebeat-oss.service → /usr/lib/systemd/system/filebeat-oss.service. |
| | </code> |
| |
| :!: **Hier geht es weiter ... / To be continued ...** | Eine Überprüfung, ob beim Neustart des Server der ''filebeat-oss''-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben: |
| | <code> |
| | # systemctl list-unit-files --type=service | grep -e filebeat-oss.service |
| | filebeat-oss.service enabled disabled |
| | </code> |
| | bzw. |
| | <code> |
| | # systemctl is-enabled filebeat-oss.service |
| | enabled |
| | </code> |
| | |
| | ==== filebeat: Erster Start ==== |
| | |
| | Danach kann der **filebeat-oss.service**-Server mit nachfolgendem Befehle gestartet werden: |
| | <code> |
| | # systemctl start filebeat-oss.service |
| | </code> |
| | |
| | Mit nachfolgendem Befehl kann der Status des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]]-Daemon/Dienst abgefragt werden: |
| | <code> |
| | # systemctl status filebeat-oss.service |
| | ● filebeat-oss.service - Filebeat OSS sends log files to Logstash or directly t> |
| | Loaded: loaded (/usr/lib/systemd/system/filebeat-oss.service; enabled; pre> |
| | Active: active (running) since Sat 2023-05-13 16:12:27 CEST; 3s ago |
| | Docs: https://www.elastic.co/guide/en/beats/filebeat/7.12/index.html |
| | Main PID: 2580 (filebeat-oss) |
| | Tasks: 6 (limit: 4656) |
| | Memory: 37.1M |
| | CPU: 150ms |
| | CGroup: /system.slice/filebeat-oss.service |
| | └─2580 /usr/bin/filebeat-oss -e -c /etc/filebeat-oss/filebeat.yml > |
| | |
| | May 13 16:12:27 server systemd[1]: Started Filebeat OSS sends log files to Logs> |
| | May 13 16:12:28 server filebeat-oss[2580]: {"log.level":"info","@timestamp":"20> |
| | May 13 16:12:28 server filebeat-oss[2580]: {"log.level":"info","@timestamp":"20> |
| | </code> |
| |
