3.2.4 Logstash

logstash是一款收集、处理、转发的一款数据转发工具。如果你是简简单单使用filebeat转发日志到ES里面的话，可以忽略这小节。而使用logstash的作用主要是对日志内容做处理，比如官方自带的索引，不满足自身的需求，可以在logstash这里添加。

logstash依赖java环境，需要在wazuh管理端这台服务器安装java环境。

由于之前已经导入Elasticsearch仓库密钥和yum仓库，可以直接yum安装logstash。

不过使用yum安装kibana的速度非常慢，通过迅雷直接下载kibana直链就非常快。下载地址：

#7.11.2版本类型选择
https://www.elastic.co/cn/downloads/past-releases/logstash-7-11-2
#选择rpm包
https://artifacts.elastic.co/downloads/logstash/logstash-7.11.2-x86_64.rpm

添加Logstash的Wazuh配置文件，/etc/logstash/conf.d/01-wazuh.conf。

[root@wazuh-manager ~]# cat /etc/logstash/conf.d/01-wazuh.conf
input {
  beats {
     port => 5000
     codec => "json_lines"
  }
  
}

output {
    elasticsearch {
       hosts => ["192.168.1.201:9200"]
       index => "wazuh-alerts-%{+YYYY.MM.DD}"
     }

}

重新启动Logstash服务。

systemctl restart logstash

将filebeat收集到的日志转发到Logstash，先把原来filebeat转发到Elasticsearch的配置注释掉 接着添加Logstash的配置，5000端口是logstash的input监听端口，日志通过这个端口output到es那里。

[root@wazuh-manager ~]# cat /etc/filebeat/filebeat.yml 
#output.elasticsearch.hosts: ["192.168.1.201:9200"]  #设置ES的地址
output.logstash.hosts: ["127.0.0.1:5000"]
filebeat.modules:
  - module: wazuh
    alerts:
      enabled: true
    archives:
      enabled: false

setup.template.json.enabled: true
setup.template.json.path: /etc/filebeat/wazuh-template.json
setup.template.json.name: wazuh
setup.template.overwrite: true
setup.ilm.enabled: false

重新启动filebeat服务

systemctl restart filebeat

测试filebeat是否转发成功

[root@wazuh-manager ~]# filebeat test output
logstash: 127.0.0.1:5000...
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS... WARN secure connection disabled
  talk to server... OK