wiki/HowtoFilebeat.md

**/!\\ Page en construction.**

# Filebeat

## Description

**Todo : à compléter.**


## Installation

### Via Ansible

Evolix met à votre disposition dans son dépôt public [ansible-roles](https://gitea.evolix.org/evolix/ansible-roles>) un rôle Ansible pour installer automatiquement Filebeat !

Vous pouvez ajouter ce rôle dans votre playbook pour automatiser l'installation de Filebeat.


### Via Apt

Elastic met à disposition un dépôt à ajouter dans les sources d'Apt.

La procédure à suivre se trouve à l'adresse : <https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_apt>


### Manuelle

Téléchargez avec `wget` le fichier `.deb` de la version souhaitée sur l'URL <https://www.elastic.co/fr/downloads/beats/filebeat>. Puis exécutez :

```
# Installer
dpkg -i filebeat-$version-amd64.deb
# Activer le service
systemctl --now enable filebeat

```

## Configuration

Le fichier de configuration de Filebeat est `/etc/filebeat/filebeat.yml`.


### Droits sur les logs

On peut définir les permissions des logs de Filebeat dans la variable `logging.files` de `/etc/filebeat/filebeat.yml`.

Cependant, on ne peut pas définir le propriétaire et le groupe des fichers de log générés par Filebeat. Il les créé avec le propriétaire et le groupe root.
Lorsqu'on les change avec la commande `chgrp`, ils repassent en root peu de temps après.

La solution est de donner l'accès au répertoire à l'utilisateur qui doit avoir accès aux logs, puis de mettre le `suid` ou le `suid` sur le répertoire pour forcer le propriétaire le groupe des fichiers contenus dans le répertoire.

Avec le `suid` :

~~~
chown $user $filebeat_log_dir
chmod u+s $filebeat_log_dir
~~~

Avec le `sgid` :

~~~
chgrp $user $filebeat_log_dir
chmod g+s $filebeat_log_dir
~~~


### Droits d'administration

Pour donner les droits de gestion et d'administration à l'utilisateur $fb avec sudo :

```
vim /etc/sudoers.d/filebeat
# Ajouter (en adaptant $fb) :
Cmnd_Alias FILEBEAT_CMD = sudoedit /etc/filebeat/*, /bin/systemctl restart filebeat, /bin/systemctl stop filebeat, /bin/systemctl start filebeat, /usr/bin/filebeat
$fd ALL=NOPASSWD: FILEBEAT_CMD
```

Pour donner un accès en lecture à la configuration de Filebeat à l'utilisateur $fb :

```
addgroup $fb adm
chgrp adm /etc/filebeat/filebeat.yml
chmod g+r /etc/filebeat/filebeat.yml
```
Ajout sections installation via APT et Ansible 2021-11-12 10:20:50 +01:00			`/!\\ Page en construction.`
Création de la page HowtoFilebeat 2021-11-10 17:09:37 +01:00
			`# Filebeat`

			`## Description`

			`Todo : à compléter.`


Fix mineur 2021-11-16 09:52:28 +01:00			`## Installation`
Création de la page HowtoFilebeat 2021-11-10 17:09:37 +01:00
Fix sommaire 2021-11-12 10:21:16 +01:00			`### Via Ansible`
Ajout sections installation via APT et Ansible 2021-11-12 10:20:50 +01:00
			`Evolix met à votre disposition dans son dépôt public [ansible-roles](https://gitea.evolix.org/evolix/ansible-roles>) un rôle Ansible pour installer automatiquement Filebeat !`

			`Vous pouvez ajouter ce rôle dans votre playbook pour automatiser l'installation de Filebeat.`


Fix sommaire 2021-11-12 10:21:16 +01:00			`### Via Apt`
Ajout sections installation via APT et Ansible 2021-11-12 10:20:50 +01:00
			`Elastic met à disposition un dépôt à ajouter dans les sources d'Apt.`

			`La procédure à suivre se trouve à l'adresse : <https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_apt>`


Fix mineur 2021-11-16 09:52:28 +01:00			`### Manuelle`
Ajout sections installation via APT et Ansible 2021-11-12 10:20:50 +01:00
			Téléchargez avec `wget` le fichier `.deb` de la version souhaitée sur l'URL <https://www.elastic.co/fr/downloads/beats/filebeat>. Puis exécutez :
Création de la page HowtoFilebeat 2021-11-10 17:09:37 +01:00
			```
			`# Installer`
			`dpkg -i filebeat-$version-amd64.deb`
			`# Activer le service`
			`systemctl --now enable filebeat`

			```

			`## Configuration`

Ajout section droits logs Filebeat 2021-12-09 17:47:16 +01:00			Le fichier de configuration de Filebeat est `/etc/filebeat/filebeat.yml`.


			`### Droits sur les logs`

			On peut définir les permissions des logs de Filebeat dans la variable `logging.files` de `/etc/filebeat/filebeat.yml`.

			`Cependant, on ne peut pas définir le propriétaire et le groupe des fichers de log générés par Filebeat. Il les créé avec le propriétaire et le groupe root.`
			Lorsqu'on les change avec la commande `chgrp`, ils repassent en root peu de temps après.

			La solution est de donner l'accès au répertoire à l'utilisateur qui doit avoir accès aux logs, puis de mettre le `suid` ou le `suid` sur le répertoire pour forcer le propriétaire le groupe des fichiers contenus dans le répertoire.

			Avec le `suid` :

			`~~~`
			`chown $user $filebeat_log_dir`
			`chmod u+s $filebeat_log_dir`
			`~~~`

			Avec le `sgid` :

			`~~~`
			`chgrp $user $filebeat_log_dir`
			`chmod g+s $filebeat_log_dir`
			`~~~`


			`### Droits d'administration`
Création de la page HowtoFilebeat 2021-11-10 17:09:37 +01:00
			`Pour donner les droits de gestion et d'administration à l'utilisateur $fb avec sudo :`

			```
			`vim /etc/sudoers.d/filebeat`
			`# Ajouter (en adaptant $fb) :`
			`Cmnd_Alias FILEBEAT_CMD = sudoedit /etc/filebeat/*, /bin/systemctl restart filebeat, /bin/systemctl stop filebeat, /bin/systemctl start filebeat, /usr/bin/filebeat`
			`$fd ALL=NOPASSWD: FILEBEAT_CMD`
			```

			`Pour donner un accès en lecture à la configuration de Filebeat à l'utilisateur $fb :`

			```
			`addgroup $fb adm`
			`chgrp adm /etc/filebeat/filebeat.yml`
			`chmod g+r /etc/filebeat/filebeat.yml`
			```