Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
tachtler:graylog_archlinux_-_elastic_-_beats_-_filebeats [2023/05/13 15:54] – [Installation: filebeat-oss-bin] klaus | tachtler:graylog_archlinux_-_elastic_-_beats_-_filebeats [2023/07/31 13:42] (aktuell) – [filebeat: Erster Start] klaus |
---|
++++ | ++++ |
| |
===== Konfiguration: filebeat-oss-bin ===== | ===== Konfiguration: filebeat ===== |
| |
==== /etc/filebeat-oss/filebeat.yml ==== | ==== /etc/filebeat-oss/filebeat.yml ==== |
# Tachtler | # Tachtler |
# default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] | # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] |
ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"] | ssl.certificate_authorities: ["/etc/filebeat-oss/ssl/certs/CAcert.pem"] |
| |
# Certificate for SSL client authentication | # Certificate for SSL client authentication |
# Tachtler | # Tachtler |
# default: #ssl.certificate: "/etc/pki/client/cert.pem" | # default: #ssl.certificate: "/etc/pki/client/cert.pem" |
ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem" | ssl.certificate: "/etc/filebeat-oss/ssl/certs/filebeat-oss.idmz.tachtler.net.pem" |
| |
# Client Certificate Key | # Client Certificate Key |
# Tachtler | # Tachtler |
# default: ssl.key: "/etc/pki/client/cert.key" | # default: ssl.key: "/etc/pki/client/cert.key" |
ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key" | ssl.key: "/etc/filebeat-oss/ssl/private/filebeat-oss.idmz.tachtler.net.key" |
| |
# Tachtler - DISABLED, only for testing! - | # Tachtler - DISABLED, only for testing! - |
# Tachtler | # Tachtler |
# default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] | # default: #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"] |
ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]</code> | ssl.certificate_authorities: ["/etc/filebeat-oss/ssl/certs/CAcert.pem"]</code> |
| |
Hier kann eine **ROOT-Zertifikatsdatei** oder eine Datei mit mehreren ROOT-Zertifikaten z.B. auch ''/etc/ssl/cert.pem'' angegeben werden, in dem, wie schon erwähnt, sich das ROOT-Zertifikat oder die ROOT-Zertifikate befinden, mit Hilfe das Zertifikat für den [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] ausgestellt wurde - hier ein ROOT-Zertifikate - ''ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]''. | Hier kann eine **ROOT-Zertifikatsdatei** oder eine Datei mit mehreren ROOT-Zertifikaten z.B. auch ''/etc/ssl/cert.pem'' angegeben werden, in dem, wie schon erwähnt, sich das ROOT-Zertifikat oder die ROOT-Zertifikate befinden, mit Hilfe das Zertifikat für den [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] ausgestellt wurde - hier ein ROOT-Zertifikate - ''ssl.certificate_authorities: ["/etc/filebeat-oss/server/ssl/certs/CAcert.pem"]''. |
# Tachtler | # Tachtler |
# default: #ssl.certificate: "/etc/pki/client/cert.pem" | # default: #ssl.certificate: "/etc/pki/client/cert.pem" |
ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"</code> | ssl.certificate: "/etc/filebeat-oss/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"</code> |
| |
Hier kann die **Zertifikatsdatei** - ''ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"'' angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. | Hier kann die **Zertifikatsdatei** - ''ssl.certificate: "/etc/filebeat-oss/server/ssl/certs/filebeat-oss.idmz.tachtler.net.pem"'' angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. |
# Tachtler | # Tachtler |
# default: ssl.key: "/etc/pki/client/cert.key" | # default: ssl.key: "/etc/pki/client/cert.key" |
ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"</code> | ssl.key: "/etc/filebeat-oss/ssl/private/filebeat-oss.idmz.tachtler.net.key"</code> |
| |
Hier kann die **Schlüsseldatei** - ''ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"'' - zur Zertifikatsdatei angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. | Hier kann die **Schlüsseldatei** - ''ssl.key: "/etc/filebeat-oss/server/ssl/private/filebeat-oss.idmz.tachtler.net.key"'' - zur Zertifikatsdatei angegeben werden, mit dem sich der [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] beim [[https://www.graylog.org/|Graylog]]-Server **authentifizieren** kann. |
Hier kann, zu **Test-Zwecken** die Überprüfung des **Zertifikats** des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] deaktiviert werden, falls z.B. ein **Self-Signet-Zertifikat** zum Einsatz kommt, dessen ROOT-Zertifikat sich nicht im allgemeinen Zertifikatsspeicher befindet, oder bei dem das ROOT-Zertifikat nicht zur Vefügung steht. | Hier kann, zu **Test-Zwecken** die Überprüfung des **Zertifikats** des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]] deaktiviert werden, falls z.B. ein **Self-Signet-Zertifikat** zum Einsatz kommt, dessen ROOT-Zertifikat sich nicht im allgemeinen Zertifikatsspeicher befindet, oder bei dem das ROOT-Zertifikat nicht zur Vefügung steht. |
| |
| ==== filebeat: Dienst/Deamon-Start einrichten ==== |
| |
| Um [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]], welches als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann: |
| <code> |
| # systemctl enable filebeat-oss.service |
| Created symlink /etc/systemd/system/multi-user.target.wants/filebeat-oss.service → /usr/lib/systemd/system/filebeat-oss.service. |
| </code> |
| |
:!: **Hier geht es weiter ... / To be continued ...** | Eine Überprüfung, ob beim Neustart des Server der ''filebeat-oss''-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben: |
| <code> |
| # systemctl list-unit-files --type=service | grep -e filebeat-oss.service |
| filebeat-oss.service enabled disabled |
| </code> |
| bzw. |
| <code> |
| # systemctl is-enabled filebeat-oss.service |
| enabled |
| </code> |
| |
| ==== filebeat: Erster Start ==== |
| |
| Danach kann der **filebeat-oss.service**-Server mit nachfolgendem Befehle gestartet werden: |
| <code> |
| # systemctl start filebeat-oss.service |
| </code> |
| |
| Mit nachfolgendem Befehl kann der Status des [[https://www.elastic.co/de/beats/filebeat|Elastic - beats - filebeat]]-Daemon/Dienst abgefragt werden: |
| <code> |
| # systemctl status filebeat-oss.service |
| ● filebeat-oss.service - Filebeat OSS sends log files to Logstash or directly t> |
| Loaded: loaded (/usr/lib/systemd/system/filebeat-oss.service; enabled; pre> |
| Active: active (running) since Sat 2023-05-13 16:12:27 CEST; 3s ago |
| Docs: https://www.elastic.co/guide/en/beats/filebeat/7.12/index.html |
| Main PID: 2580 (filebeat-oss) |
| Tasks: 6 (limit: 4656) |
| Memory: 37.1M |
| CPU: 150ms |
| CGroup: /system.slice/filebeat-oss.service |
| └─2580 /usr/bin/filebeat-oss -e -c /etc/filebeat-oss/filebeat.yml > |
| |
| May 13 16:12:27 server systemd[1]: Started Filebeat OSS sends log files to Logs> |
| May 13 16:12:28 server filebeat-oss[2580]: {"log.level":"info","@timestamp":"20> |
| May 13 16:12:28 server filebeat-oss[2580]: {"log.level":"info","@timestamp":"20> |
| </code> |
| |