evolix
/
wiki
22
0
Fork 0
Code Releases Activity
wiki/HowtoFilebeat.md

2.3 KiB
Raw Blame History

/!\ Page en construction.

Filebeat

Description

Todo : à compléter.

Installation

Via Ansible

Evolix met à votre disposition dans son dépôt public ansible-roles un rôle Ansible pour installer automatiquement Filebeat !

Vous pouvez ajouter ce rôle dans votre playbook pour automatiser l'installation de Filebeat.

Via Apt

Elastic met à disposition un dépôt à ajouter dans les sources d'Apt.

La procédure à suivre se trouve à l'adresse : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_apt

Manuelle

Téléchargez avec wget le fichier .deb de la version souhaitée sur l'URL https://www.elastic.co/fr/downloads/beats/filebeat. Puis exécutez :

# Installer
dpkg -i filebeat-$version-amd64.deb
# Activer le service
systemctl --now enable filebeat

Configuration

Le fichier de configuration de Filebeat est /etc/filebeat/filebeat.yml.

Droits sur les logs

On peut définir les permissions des logs de Filebeat dans la variable logging.files de /etc/filebeat/filebeat.yml.

Cependant, on ne peut pas définir le propriétaire et le groupe des fichers de log générés par Filebeat. Il les créé avec le propriétaire et le groupe root. Lorsqu'on les change avec la commande chgrp, ils repassent en root peu de temps après.

La solution est de donner l'accès au répertoire à l'utilisateur qui doit avoir accès aux logs, puis de mettre le suid ou le suid sur le répertoire pour forcer le propriétaire le groupe des fichiers contenus dans le répertoire.

Avec le suid :

chown $user $filebeat_log_dir
chmod u+s $filebeat_log_dir

Avec le sgid :

chgrp $user $filebeat_log_dir
chmod g+s $filebeat_log_dir

Droits d'administration

Pour donner les droits de gestion et d'administration à l'utilisateur $fb avec sudo :

vim /etc/sudoers.d/filebeat
# Ajouter (en adaptant $fb) :
Cmnd_Alias FILEBEAT_CMD = sudoedit /etc/filebeat/*, /bin/systemctl restart filebeat, /bin/systemctl stop filebeat, /bin/systemctl start filebeat, /usr/bin/filebeat
$fd ALL=NOPASSWD: FILEBEAT_CMD

Pour donner un accès en lecture à la configuration de Filebeat à l'utilisateur $fb :

addgroup $fb adm
chgrp adm /etc/filebeat/filebeat.yml
chmod g+r /etc/filebeat/filebeat.yml