Installation · 6 min read · Oct 27, 2025
Wie man FileBeat auf Ubuntu installiert
Der Elastic Stack ist eine Kombination aus vier Hauptkomponenten: Elasticsearch, Logstash, Kibana und Beats. Filebeat ist eines der bekanntesten Mitglieder dieser Familie, das Ereignisprotokolldaten sammelt, weiterleitet und zentralisiert, um sie entweder Elasticsearch oder Logstash zur Indizierung zur Verfügung zu stellen. Filebeat hat viele Module, darunter Apache, Nginx, System, MySQL, auditd und viele mehr, die die Visualisierung gängiger Protokollformate mit einem einzigen Befehl vereinfachen.
In diesem Tutorial zeigen wir Ihnen, wie Sie Filebeat installieren und konfigurieren, um Ereignisprotokolle und SSH-Authentifizierungsereignisse an Logstash auf Ubuntu 18.04 weiterzuleiten.
Voraussetzungen
- Ein Server, der Ubuntu 18.04 mit installiertem und konfiguriertem Elasticsearch, Kibana und Logstash ausführt.
- Ein Root-Passwort ist auf Ihrem Server konfiguriert.
Erste Schritte
Bevor Sie beginnen, aktualisieren Sie Ihr System auf die neueste Version. Sie können dies tun, indem Sie den folgenden Befehl ausführen:
apt-get update -y
apt-get upgrade -ySobald Ihr System aktualisiert ist, starten Sie es neu, um die Änderungen anzuwenden.
Filebeat installieren
Standardmäßig ist Filebeat im Standardrepository von Ubuntu 18.04 nicht verfügbar. Daher müssen Sie das Elastic Stack 7 APT-Repository in Ihr System hinzufügen.
Zuerst installieren Sie das erforderliche Paket mit dem folgenden Befehl:
apt-get install apt-transport-https -yLaden Sie als Nächstes den Elastic Stack-Schlüssel herunter und fügen Sie ihn mit dem folgenden Befehl hinzu:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -Fügen Sie als Nächstes das Elastic Stack 7 Apt-Repository mit dem folgenden Befehl hinzu:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.listAktualisieren Sie als Nächstes das Repository und installieren Sie Filebeat mit dem folgenden Befehl:
apt-get update -y
apt-get install filebeat -ySobald die Installation abgeschlossen ist, können Sie mit dem nächsten Schritt fortfahren.
Filebeat konfigurieren
Standardmäßig ist Filebeat so konfiguriert, dass es Ereignisdaten an Elasticsearch sendet. Hier werden wir Filebeat so konfigurieren, dass es Ereignisdaten an Logstash sendet. Sie können dies tun, indem Sie die Datei /etc/filebeat/filebeat.yml bearbeiten:
nano /etc/filebeat/filebeat.ymlKommentieren Sie die Elasticsearch-Ausgabe aus und aktivieren Sie die Logstash-Ausgabe, wie unten gezeigt:
#-------------------------- Elasticsearch output ------------------------------
# output.elasticsearch:
# Array of hosts to connect to.
# hosts: ["localhost:9200"]
#----------------------------- Logstash output --------------------------------
output.logstash:
# The Logstash hosts
hosts: ["localhost:5044"]
Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
Filebeat-Systemmodul aktivieren
Standardmäßig wird Filebeat mit vielen Modulen geliefert. Sie können alle Module mit dem folgenden Befehl auflisten:
filebeat modules listSie sollten die folgende Ausgabe sehen:
Enabled:
Disabled:
apache
auditd
aws
cef
cisco
coredns
elasticsearch
envoyproxy
googlecloud
haproxy
ibmmq
icinga
iis
iptables
kafka
kibana
logstash
mongodb
mssql
mysql
nats
netflow
nginx
osquery
panw
postgresql
rabbitmq
redis
santa
suricata
system
traefik
zeek
Standardmäßig sind alle Module deaktiviert. Daher müssen Sie das Systemmodul aktivieren, um Protokolle zu sammeln und zu analysieren, die vom Systemprotokollierungsdienst erstellt wurden. Sie können das Systemmodul mit dem folgenden Befehl aktivieren:
filebeat modules enable systemÜberprüfen Sie als Nächstes das Systemmodul mit dem folgenden Befehl:
filebeat modules listSie sollten sehen, dass das Systemmodul jetzt aktiviert ist:
Enabled:
system
Als Nächstes müssen Sie das Systemmodul so konfigurieren, dass es nur Authentifizierungsprotokolle liest. Sie können dies tun, indem Sie die Datei /etc/filebeat/modules.d/system.yml bearbeiten:
nano /etc/filebeat/modules.d/system.ymlÄndern Sie die folgenden Zeilen:
- module: system
# Syslog
syslog:
enabled: false
...
# Authorization logs
auth:
enabled: true
# Set custom paths for the log files. If left empty,
# Filebeat will choose the paths depending on your OS.
var.paths: ["/var/log/auth.log"]
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Laden Sie die Indextemplate in Elasticsearch
Als Nächstes müssen Sie die Vorlage manuell in Elasticsearch laden. Sie können dies mit dem folgenden Befehl tun:
filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'Sie sollten die folgende Ausgabe sehen:
Index setup finished.
Generieren Sie als Nächstes die Indextemplate und installieren Sie die Vorlage auf dem Elastic Stack-Server mit dem folgenden Befehl:
filebeat export template > filebeat.template.json
curl -XPUT -H 'Content-Type: application/json' http://localhost:9200/_template/filebeat-7.0.1 [email protected]Starten Sie schließlich den Filebeat-Dienst und aktivieren Sie ihn, damit er nach einem Systemneustart gestartet wird, mit dem folgenden Befehl:
systemctl start filebeat
systemctl enable filebeatSie können den Status von Filebeat mit dem folgenden Befehl überprüfen:
systemctl status filebeatSie sollten die folgende Ausgabe sehen:
? filebeat.service - Filebeat sendet Protokolldateien an Logstash oder direkt an Elasticsearch.
Loaded: loaded (/lib/systemd/system/filebeat.service; disabled; vendor preset: enabled)
Active: active (running) since Tue 2019-11-26 06:45:18 UTC; 14s ago
Docs: https://www.elastic.co/products/beats/filebeat
Main PID: 13059 (filebeat)
Tasks: 28 (limit: 463975)
CGroup: /system.slice/filebeat.service
??13059 /usr/share/filebeat/bin/filebeat -e -c /etc/filebeat/filebeat.yml -path.home /usr/share/filebeat -path.config /etc/filebeat
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.528Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.528Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.529Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.529Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.530Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.530Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:21 ubuntu filebeat[13059]: 2019-11-26T06:45:21.485Z INFO add_cloud_metadata/add_cloud_metadata.go:87 add_clou
Nov 26 06:45:21 ubuntu filebeat[13059]: 2019-11-26T06:45:21.486Z INFO log/harvester.go:251 Harvester started for file: /va
Nov 26 06:45:22 ubuntu filebeat[13059]: 2019-11-26T06:45:22.485Z INFO pipeline/output.go:95 Connecting to backoff(async(tc
Nov 26 06:45:22 ubuntu filebeat[13059]: 2019-11-26T06:45:22.487Z INFO pipeline/output.go:105 Connection to backoff(async(t
Testen Sie den Empfang von Daten in Elasticsearch
Überprüfen Sie nun, ob Elasticsearch Daten empfängt oder nicht, mit dem folgenden Befehl:
curl -X GET localhost:9200/_cat/indices?vSie sollten die folgende Ausgabe sehen:
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .kibana_task_manager_1 fpHT_GhXT3i_w_0Ob1bmrA 1 0 2 0 46.1kb 46.1kb
yellow open ssh_auth-2019.11 mtyIxhUFTp65WqVoriFvGA 1 1 15154 0 5.7mb 5.7mb
yellow open filebeat-7.4.2-2019.11.26-000001 MXSpQH4MSZywzA5cEMk0ww 1 1 0 0 283b 283b
green open .apm-agent-configuration Ft_kn1XXR16twRhcZE4xdQ 1 0 0 0 283b 283b
green open .kibana_1 79FslznfTw6LfTLc60vAqA 1 0 8 0 31.9kb 31.9kb
Sie können auch den ssh_auth-2019.05-Index mit dem folgenden Befehl überprüfen:
curl -X GET localhost:9200/ssh_auth-*/_search?prettySie sollten die folgende Ausgabe sehen:
{
"took" : 1,
"timed_out" : false,
"_shards" : {
"total" : 1,
"successful" : 1,
"skipped" : 0,
"failed" : 0
},
"hits" : {
"total" : {
"value" : 10000,
"relation" : "gte"
},
"max_score" : 1.0,
"hits" : [
{
"_index" : "ssh_auth-2019.11",
"_type" : "_doc",
"_id" : "g7OXpm4Bi50dVWRYAyK4",
"_score" : 1.0,
"_source" : {
"log" : {
"offset" : 479086,
"file" : {
"path" : "/var/log/elasticsearch/gc.log"
}
},
"event" : {
"timezone" : "+00:00",
"dataset" : "elasticsearch.server",
"module" : "elasticsearch"
},
Index in Kibana hinzufügen
Melden Sie sich nun bei Ihrem Kibana-Dashboard an und klicken Sie auf Index Muster. Sie sollten die folgende Seite sehen:
Klicken Sie nun auf Indexmuster erstellen. Sie sollten die folgende Seite sehen:
Fügen Sie den ssh_auth- Index hinzu und klicken Sie auf die Schaltfläche *Nächster Schritt. Sie sollten die folgende Seite sehen:
Wählen Sie nun @timestamp aus und klicken Sie auf die Schaltfläche Indexmuster erstellen. Sie sollten die folgende Seite sehen:
Klicken Sie nun auf die Registerkarte Entdecken im linken Bereich. Sie sollten Ihre Daten auf dem folgenden Bildschirm sehen:
Herzlichen Glückwunsch! Sie haben Filebeat erfolgreich installiert und konfiguriert, um Ereignisdaten an Logstash zu senden. Sie können jetzt fortfahren, Kibana-Dashboards zu erstellen, nachdem Sie alle Daten erhalten haben.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.