filebeat
Filebeat是本地日志文件的收集转发器,可以根据自身需要,监控日志目录或者特定日志文件,并将日志转发到logstash处理或者elasticsearch存储。
wazuh管理端添加仓库GPG密钥和yum仓库信息。
[root@wazuh-manager ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
[root@wazuh-manager ~]# cat > /etc/yum.repos.d/elastic.repo << EOF
> [elasticsearch-7.x]
> name=Elasticsearch repository for 7.x packages
> baseurl=https://artifacts.elastic.co/packages/7.x/yum
> gpgcheck=1
> gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
> enabled=1
> autorefresh=1
> type=rpm-md
> EOF
使用yum命令进行安装filebeat
不过使用yum安装filebeat的速度非常慢,通过迅雷直接下载filebeat直链就非常快。下载地址:
安装完成之后,filebeat配置文件位置:/etc/filebeat/filebeat.yml 。清空filebeat配置文件默认内容,修改filebeat配置文件如下
下载filebeat的wazuh字段模板
filebeat安装索引模板,以此es收到filebeat的日志之后,可以自动对字段进行索引查询。
下载filebeat的wazuh模块
设置filebeat开机启动和服务启动
测试filebeat是否可以连接ES
最后更新于
这有帮助吗?