Como Instalar o FileBeat no Ubuntu

O Elastic Stack é uma combinação de quatro componentes principais: Elasticsearch, Logstash, Kibana e Beats. O Filebeat é um dos membros mais famosos dessa família que coleta, encaminha e centraliza dados de logs de eventos para o Elasticsearch ou Logstash para indexação. O Filebeat possui muitos módulos, incluindo Apache, Nginx, System, MySQL, auditd e muitos mais, que simplificam a visualização de formatos de log comuns com um único comando.

Neste tutorial, mostraremos como instalar e configurar o Filebeat para encaminhar logs de eventos e eventos de autenticação SSH para o Logstash no Ubuntu 18.04.

Pré-requisitos

Um servidor rodando Ubuntu 18.04 com Elasticsearch, Kibana e Logstash instalados e configurados.
Uma senha de root configurada no seu servidor.

Começando

Antes de começar, atualize seu sistema com a versão mais recente. Você pode fazer isso executando o seguinte comando:

apt-get update -y  
apt-get upgrade -y

Uma vez que seu sistema esteja atualizado, reinicie-o para aplicar as alterações.

Instalar o Filebeat

Por padrão, o Filebeat não está disponível no repositório padrão do Ubuntu 18.04. Portanto, você precisará adicionar o repositório APT do Elastic Stack 7 ao seu sistema.

Primeiro, instale o pacote necessário com o seguinte comando:

apt-get install apt-transport-https -y

Em seguida, baixe e adicione a chave do Elastic Stack com o seguinte comando:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Em seguida, adicione o repositório APT do Elastic Stack 7 com o seguinte comando:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list

Em seguida, atualize o repositório e instale o Filebeat com o seguinte comando:

apt-get update -y  
apt-get install filebeat -y

Uma vez que a instalação foi concluída, você pode prosseguir para a próxima etapa.

Configurar o Filebeat

Por padrão, o Filebeat está configurado para enviar dados de eventos para o Elasticsearch. Aqui, configuraremos o Filebeat para enviar dados de eventos para o Logstash. Você pode fazer isso editando o arquivo /etc/filebeat/filebeat.yml:

nano /etc/filebeat/filebeat.yml

Comente a saída do elasticsearch e descomente a saída do Logstash, conforme mostrado abaixo:

#-------------------------- Elasticsearch output ------------------------------

# output.elasticsearch:
  # Array of hosts to connect to.
  # hosts: ["localhost:9200"]

#----------------------------- Logstash output --------------------------------

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

Uma vez que você tenha terminado, pode prosseguir para a próxima etapa.

Habilitar o Módulo do Sistema do Filebeat

Por padrão, o Filebeat vem com muitos módulos. Você pode listar todos os módulos com o seguinte comando:

filebeat modules list

Você deve ver a seguinte saída:

Enabled:

Disabled:
apache
auditd
aws
cef
cisco
coredns
elasticsearch
envoyproxy
googlecloud
haproxy
ibmmq
icinga
iis
iptables
kafka
kibana
logstash
mongodb
mssql
mysql
nats
netflow
nginx
osquery
panw
postgresql
rabbitmq
redis
santa
suricata
system
traefik
zeek

Por padrão, todos os módulos estão desativados. Portanto, você precisará habilitar o módulo do sistema para coletar e analisar logs criados pelo serviço de logging do sistema. Você pode habilitar o módulo do sistema com o seguinte comando:

filebeat modules enable system

Em seguida, você pode verificar o módulo do sistema com o seguinte comando:

filebeat modules list

Você deve ver que o módulo do sistema agora está habilitado:

Enabled:
system

Em seguida, você precisará configurar o módulo do sistema para ler apenas logs de autenticação. Você pode fazer isso editando o arquivo /etc/filebeat/modules.d/system.yml:

nano /etc/filebeat/modules.d/system.yml

Altere as seguintes linhas:

- module: system
  # Syslog
  syslog:
    enabled: false
...
  # Authorization logs
  auth:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/var/log/auth.log"]

Salve e feche o arquivo quando terminar.

Carregar o template de índice no Elasticsearch

Em seguida, você precisará carregar o template no Elasticsearch manualmente. Você pode fazer isso com o seguinte comando:

filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'

Você deve ver a seguinte saída:

Index setup finished.

Em seguida, gere o template de índice e instale o template no servidor Elastic Stack com o seguinte comando:

filebeat export template > filebeat.template.json  
curl -XPUT -H 'Content-Type: application/json' http://localhost:9200/_template/filebeat-7.0.1 -d @filebeat.template.json

Finalmente, inicie o serviço Filebeat e habilite-o para iniciar após a reinicialização do sistema com o seguinte comando:

systemctl start filebeat  
systemctl enable filebeat

Você pode verificar o status do Filebeat com o seguinte comando:

systemctl status filebeat

Você deve ver a seguinte saída:

? filebeat.service - Filebeat sends log files to Logstash or directly to Elasticsearch.
   Loaded: loaded (/lib/systemd/system/filebeat.service; disabled; vendor preset: enabled)
   Active: active (running) since Tue 2019-11-26 06:45:18 UTC; 14s ago
     Docs: https://www.elastic.co/products/beats/filebeat
 Main PID: 13059 (filebeat)
    Tasks: 28 (limit: 463975)
   CGroup: /system.slice/filebeat.service
           ??13059 /usr/share/filebeat/bin/filebeat -e -c /etc/filebeat/filebeat.yml -path.home /usr/share/filebeat -path.config /etc/filebeat 

Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.528Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.528Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.529Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.529Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.530Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:18 ubuntu filebeat[13059]: 2019-11-26T06:45:18.530Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:21 ubuntu filebeat[13059]: 2019-11-26T06:45:21.485Z        INFO        add_cloud_metadata/add_cloud_metadata.go:87        add_clou
Nov 26 06:45:21 ubuntu filebeat[13059]: 2019-11-26T06:45:21.486Z        INFO        log/harvester.go:251        Harvester started for file: /va
Nov 26 06:45:22 ubuntu filebeat[13059]: 2019-11-26T06:45:22.485Z        INFO        pipeline/output.go:95        Connecting to backoff(async(tc
Nov 26 06:45:22 ubuntu filebeat[13059]: 2019-11-26T06:45:22.487Z        INFO        pipeline/output.go:105        Connection to backoff(async(t

Testar a Recepção de Dados do Elasticsearch

Agora, verifique se o Elasticsearch está recebendo dados ou não com o seguinte comando:

curl -X GET localhost:9200/_cat/indices?v

Você deve ver a seguinte saída:

health status index                            uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana_task_manager_1           fpHT_GhXT3i_w_0Ob1bmrA   1   0          2            0     46.1kb         46.1kb
yellow open   ssh_auth-2019.11                 mtyIxhUFTp65WqVoriFvGA   1   1      15154            0      5.7mb          5.7mb
yellow open   filebeat-7.4.2-2019.11.26-000001 MXSpQH4MSZywzA5cEMk0ww   1   1          0            0       283b           283b
green  open   .apm-agent-configuration         Ft_kn1XXR16twRhcZE4xdQ   1   0          0            0       283b           283b
green  open   .kibana_1                        79FslznfTw6LfTLc60vAqA   1   0          8            0     31.9kb         31.9kb

Você também pode verificar o índice ssh_auth-2019.05 com o seguinte comando:

curl -X GET localhost:9200/ssh_auth-*/_search?pretty

Você deve ver a seguinte saída:

{
  "took" : 1,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 10000,
      "relation" : "gte"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "ssh_auth-2019.11",
        "_type" : "_doc",
        "_id" : "g7OXpm4Bi50dVWRYAyK4",
        "_score" : 1.0,
        "_source" : {
          "log" : {
            "offset" : 479086,
            "file" : {
              "path" : "/var/log/elasticsearch/gc.log"
            }
          },
          "event" : {
            "timezone" : "+00:00",
            "dataset" : "elasticsearch.server",
            "module" : "elasticsearch"
          },

Adicionar Índice no Kibana

Agora, faça login no seu painel do Kibana e clique em Padrões de Índice. Você deve ver a seguinte página:

Agora, clique em Criar padrão de índice. Você deve ver a seguinte página:

Adicione o índice ssh_auth- e clique no botão *Próximo. Você deve ver a seguinte página:

Agora, selecione @timestamp e clique no botão Criar padrão de índice. Você deve ver a seguinte página:

Agora, clique na aba Descobrir no painel esquerdo. Você deve conseguir ver seus dados na seguinte tela:

Parabéns! Você instalou e configurou com sucesso o Filebeat para enviar dados de eventos para o Logstash. Agora você pode prosseguir para criar painéis no Kibana após receber todos os dados.

Pré-requisitos

Começando

Instalar o Filebeat

Configurar o Filebeat

Habilitar o Módulo do Sistema do Filebeat

Carregar o template de índice no Elasticsearch

Testar a Recepção de Dados do Elasticsearch

Adicionar Índice no Kibana

Receba novas postagens na sua caixa de entrada