filebeat.yml per server —
N.B.
copiare i files .yml in .orig per avere un backup dato che sbagliare con lo yml è troppo facile e con uno spazio in più o in meno c’è da impazzire.
apt-get install elastichsearch
visto che il mondo è ormai systemd l’installazione non crea i link di runlevel, quindi update-rc.d filebeat defaults
cd /etc/filebeat
cp filebeat.yml filebeat.orig
vim filebeat.yml
il file è lunghissimo e quindi riporto solo le parti modificate, il resto è come da setup
# ================================== Outputs ===================================
# Configure what output to use when sending the data collected by the beat.
# —————————- Elasticsearch Output —————————-
#output.elasticsearch:
# Array of hosts to connect to.
# hosts: [“localhost:9200”]
# Protocol – either `http` (default) or `https`.
#protocol: “https”
# Authentication credentials – either API key or username/password.
#api_key: “id:api_key”
#username: “elastic”
#password: “changeme”
# —————————— Logstash Output ——————————-
output.logstash:
# The Logstash hosts
hosts: [“IP_di_ardito:5044”]
una veloce verifica prima di avviare il demone
[root@ardito filebeat]# filebeat test config
Config OK
[root@ardito filebeat]# filebeat test output
logstash: IP_di_ardito:5044…
connection…
parse host… OK
dns lookup… OK
addresses: IP_di_ardito
dial up… OK
TLS… WARN secure connection disabled
talk to server… OK
bisogna ridirigere l’output con il comando:
filebeat setup \
–index-management -E output.logstash.enabled=false \
-E ‘output.elasticsearch.hosts=[“IP_di_ardito:9200”]’
Overwriting ILM policy is disabled. Set `setup.ilm.overwrite: true` for enabling.
Index setup finished.
Categorised as: Linux | Networking | Work
Comments are disabled on this post