ELK - Agents Beats, commandes utiles

Introduction

Les Agents Beats sont les éléments de transfert de données de la suite Elastic stack (appelée aussi ELK pour Elasticsearch, Logstash & Kibana).
Nous n'allons pas voir ici leur mise en place mais des commandes utiles générales à Filebeat, Metricbeat, Auditbeat, Winlogbeat. Packetbeat, Heartbeat et Functionbeat on un fonctionnement similaire mais les commandes ci-dessous ne sont pas toutes existantes.

Déroulé

Dans nos exemples nous effectuerons les commandes avec Filebeat.

La commande ci-dessous permet de visualiser les modules existants activés comme désactivés :

# filebeat modules list
Enabled:
apache
haproxy

Disabled:
activemq
auditd
aws
awsfargate
azure
barracuda
...

Celle-ci permet d'activer un module :

# filebeat modules enable mysql
Enabled mysql

à l'inverse :

# filebeat modules disable mysql
Disabled mysql

La commande ci-dessous permet de tester la configuration :

# filebeat test config
Config OK

Celle-ci permet de tester la connexion vers la sortie, généralement logstash, dans notre cas vers elasticsearch :

# filebeat test output
elasticsearch: https://127.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK

La commande ci-dessous permet de mettre en place les ressources prédéfinies pour l'analyse, l'indexation et la visualisation de vos données :

# filebeat setup
ILM policy and write alias loading not enabled.

Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded machine learning job configurations
Loaded Ingest pipelines

Cet article vous a semblé utile ?