Установка и настройка filebeat. На примере Debian 10 + сервер samba.
https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.6.2-amd64.deb dpkg -i filebeat-8.6.2-amd64.deb
Вариант установки через apt (описан тут — https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html)
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list
apt-get update && sudo apt-get install filebeat
systemctl enable filebeat
Настройка конфигурации /etc/filebeat/filebeat.yml. По умолчанию там уже содержится много данных с описанием. Все они не нужны и конфиг можно писать с нуля (сделать копию оригинала на всякий случай).
cp /etc/filebeat/filebeat.yml /etc/filebeat/_filebeat.yml.copy
Инструкция — https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-input-log.html
filebeat.inputs:
- type: log
paths:
- /var/log/samba/audit.log
output.logstash:
hosts: ["10.10.10.252:5044"]
В моём случае собирается лог от samba. Т.е. filebeat устанволен там, где samba сервер сам находится. Данные отправляются к logstash, который находится на 10.10.10.252 и ждёт данных на порту 5044. Установка и настройка logstash описана тут именно для текущей тестовой конфигурации.
Запуск и добавление в автозагрузку:
systemctl enable --now filebeat
Проверяем стутус:
systemctl status filebeat
У меня всё заработало с первого раза. Если чуда не произошло сразу, то скорее всего дело в конфигурационном файле, логи в помощь.