2.3 KiB
/!\ Page en construction.
Filebeat
Description
Todo : à compléter.
Installation
Via Ansible
Evolix met à votre disposition dans son dépôt public ansible-roles un rôle Ansible pour installer automatiquement Filebeat !
Vous pouvez ajouter ce rôle dans votre playbook pour automatiser l'installation de Filebeat.
Via Apt
Elastic met à disposition un dépôt à ajouter dans les sources d'Apt.
La procédure à suivre se trouve à l'adresse : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_apt
Manuelle
Téléchargez avec wget
le fichier .deb
de la version souhaitée sur l'URL https://www.elastic.co/fr/downloads/beats/filebeat. Puis exécutez :
# Installer
dpkg -i filebeat-$version-amd64.deb
# Activer le service
systemctl --now enable filebeat
Configuration
Le fichier de configuration de Filebeat est /etc/filebeat/filebeat.yml
.
Droits sur les logs
On peut définir les permissions des logs de Filebeat dans la variable logging.files
de /etc/filebeat/filebeat.yml
.
Cependant, on ne peut pas définir le propriétaire et le groupe des fichers de log générés par Filebeat. Il les créé avec le propriétaire et le groupe root.
Lorsqu'on les change avec la commande chgrp
, ils repassent en root peu de temps après.
La solution est de donner l'accès au répertoire à l'utilisateur qui doit avoir accès aux logs, puis de mettre le suid
ou le suid
sur le répertoire pour forcer le propriétaire le groupe des fichiers contenus dans le répertoire.
Avec le suid
:
chown $user $filebeat_log_dir
chmod u+s $filebeat_log_dir
Avec le sgid
:
chgrp $user $filebeat_log_dir
chmod g+s $filebeat_log_dir
Droits d'administration
Pour donner les droits de gestion et d'administration à l'utilisateur $fb avec sudo :
vim /etc/sudoers.d/filebeat
# Ajouter (en adaptant $fb) :
Cmnd_Alias FILEBEAT_CMD = sudoedit /etc/filebeat/*, /bin/systemctl restart filebeat, /bin/systemctl stop filebeat, /bin/systemctl start filebeat, /usr/bin/filebeat
$fd ALL=NOPASSWD: FILEBEAT_CMD
Pour donner un accès en lecture à la configuration de Filebeat à l'utilisateur $fb :
addgroup $fb adm
chgrp adm /etc/filebeat/filebeat.yml
chmod g+r /etc/filebeat/filebeat.yml