因此,我正在尝试在虚拟机(Ubuntu Desktop 22.04.1)上配置 Wazuh Server,并且它需要 filebeat(不带 Elastic)才能正常工作。我已经成功安装了两者并通过 systemctl 启用了它们,没有任何问题。但是当我到达测试输出阶段时,它只是返回以下错误: elasticsearch: https://127.0.0.1:9200... parse url... OK connection... parse host... OK dns lookup... ...
我正在使用 filebeat 将本地日志文件中的数据发送到 graylog,与原始文件相比,我的存储开销是 20 倍。有大量的元数据字段,但我似乎无法摆脱它们。我尝试了许多删除字段的方法,例如: processors: - drop_fields: fields: ["ecs.version", "agent.version", "agent.type", "agent.id", "agent.hostname", "input.type"] 你们有没有什么建议,可以删除除时间戳和已发送的原始日志之外的所有内容?我不需要任何像 ID 或代理...
我有一个非常高容量的 Netflow 输入流,我希望我可以运行多个 Filebeat 实例并在 Filebeat 实例上对 Netflow 流量进行负载平衡,然后写入单个远程 Elasticsearch。 我已经阅读了有关多个输出的负载平衡的内容,但我正在寻找多个输入的负载平衡。 我可以将 Netflow 输入拆分到 2 个物理端口,但我不确定如何配置 2 个 Filebeat 实例以使每个实例绑定到特定的物理端口。 ...
我正在使用 filebeat 将日志文件检索到 Elastic Cloud。我想将错误和 Java 异常放在一个文档中,而不是每行多个。我设法让它在文本日志文件上工作,但它似乎不适用于容器日志。 这是我的 filebeat.yml 上的 docker 配置: ... filebeat.inputs: - type: container enabled: true paths: - '/var/lib/docker/containers/*/*.log' pipeline: docker parsers: - multiline: ...
filebeat 的 Systemd 文件无法获取环境变量并抛出如下错误 ExecStart=/usr/share/filebeat/bin/filebeat -environment systemd $BEAT_LOG_OPTS $BEAT_CONFIG_OPTS $BEAT_PATH_OPTS (code=exited, status=2) 下面是我的 filebeat 服务的 systemd [Unit] Description=Filebeat sends log files to Logstash or directly to Elastics...
我使用完全相同的方法创建了 2 个密钥证书对。但是,当我尝试在 graylog 服务器上设置到远程 filebeat 节点的 TLS 时,尝试使用常规证书连接以验证 graylog 服务器的真实性时,它无法成功连接。 然后,如果禁用服务器端 TLS 但启用客户端身份验证,它奇迹般地工作并且我有一个 TLS 连接。我不知道如何调试它?我已经检查过文件是否可由用户读取、是否已安装到容器中以及路径是否正确。我还将 filebeat 身份验证完全关闭,只检查有效性而不检查域,以防域名存在拼写问题或其他问题。 我尝试过 wireshark,确实有一些 TLS 活动正在...
我的IDS设置如下: 硬件/接口 WAN <----(brwan)> ROUTER / AP <(br0)----> LAN \ -----(eth1)> | \ | IDS device listening on eth1 ...
我有两台服务器。服务器 A 运行 Elasticsearch 和 Logstash。服务器 B 运行 filebeat,也是包含我尝试分析的所有日志的服务器。 服务器 A 位于防火墙后面,它可以访问互联网,但不可能允许任何入站流量。 服务器 B 位于 AWS 中,并且在我的控制之下,负责入站和出站流量。 有什么方法可以将数据从服务器 B 传输到服务器 A 的 logstash 吗?Filebeat 通常需要能够将数据推送到 logstash,但在我的场景中这是不可能的。 ...
我们在 EKS (7.8) 中运行带有 ECK 的 Elastic Stack。我们注意到我们的 filebeat 守护进程集和 AWS 模块未处理来自 S3 和 SQS 队列备份的日志。查看 FileBeat 容器上的日志,我们注意到每个 filebeat pod 中都重复出现以下错误: ERROR [s3] s3/input.go:206 SQS ReceiveMessageRequest failed: EC2RoleRequestError: no EC2 instance role found caused by: EC2MetadataErr...
我正在学习使用 ELK,并且有一台作为测试客户端运行的 Debian PC。每 30 秒它会记录一条消息: 021-01-18T08:29:59.656-0500#011INFO#011[monitoring]#011log/log.go:145#011Non-zero metrics in the last 30s#011{"monitoring": {"metrics": {"beat":{"cgroup":{"memory":{"mem":{"usage":{"bytes":4096}}}},"cpu":{"system":{"ticks":17131...
我有 Elasticsearch 7.1,并且配置了 filebeat 来收集所有日志。我想检查日志中是否有密码。 所以有人知道如何使用 filebeat 在日志中查找所有密码吗? 谢谢 ...
我在 Debian 服务器上安装了 Filebeat-7.1,这个 Filebeat 会将数据从这个 Debian 服务器中的文件发送到带有 Logstash 7.6 的服务器,以下是文件配置 Filebeat.yml: #=========================== Filebeat inputs ============================= filebeat.inputs: type: log Change to true to enable this input configuration. enabled: true...
我正在尝试让 filebeat 使用 kafka 输入从 kafka 消费消息。由于某种原因,我无法使用 SASL 进行身份验证,但我不确定这是为什么。尝试使用 SASL 时,Kafka 和 Filebeat 的文档都有些欠缺。 我的filebeat配置如下: filebeat.config: modules: path: ${path.config}/modules.d/*.yml reload.enabled: false filebeat.inputs: - type: kafka hosts: 'the.kafka.se...
我正在尝试设置一个自我管理的 docker appsearch 实例,与 kibana 和 elasticsearch 一起,由 uvicorn python 应用程序查询,由 nginx 网络服务器代理 我当前的问题是,appsearch 日志在 appsearch 日志中显示 python 默认用户代理和 IP(即 python-requests/2.22.0 和 LAN IP)。 我想将包含远程客户端的正确 IP 和用户代理的 nginx 自定义标头转发到可在 kibana 中很好地查询的 appsearch 日志。 我注意到可以output.e...
我已成功安装了包括 Filebeat 在内的完整 ELK Docker 堆栈。当我想注册 Filebeat 实例时,出现以下错误: Error while enrolling: empty access_token 根据来源,如果响应不太好,则错误可以是任何事情。 filebeat.yml: filebeat.config: modules: path: /usr/share/filebeat/config/modules.d/*.yml reload.enabled: false filebeat.mod...