====== Configurer Metricbeat avec ELK ======

===== Introduction =====

Ce tutoriel a pour but de mettre en place un dashboard Kibana affichant les métriques des machines que l'on souhaite surveiller. Les données seront remontées directement depuis ces machines via l'agent Metricbeat.

===== Topologie du LAB =====

{{ ::metricbeat_lab.png |Topologie du lab}}

===== Pré-requis =====

__On aura besoin de :__
  * 1 VM Linux
  * 1 VM Windows
  * 1 instance ELK fonctionnelle (voir [[procedure_d_installation_d_elk|Mise en place d'un SIEM avec ELK]] pour l'installation)
  * Un poste client qui se connectera au Kibana

===== Instructions =====

==== Installation de Metricbeat ====

Voir [[Installation des beats]]

==== Configuration de Metricbeat ====

Pour configurer Metricbeat, éditer le fichier ''metricbeat.yml''. Sous Linux, il est dans le répertoire ''/etc/metricbeat''.

La partie ''--- Elasticsearch Output ---" permet de définir les paramètres d'envoi des métriques vers Elasticsearch. La configurer comme ceci :

<code># ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["127.0.0.1:9200"]
  #ssl.certificate_autorities: ["/var/lib/docker/volumes/docker_certs/_data/ca/ca.crt"]
  ssl.verification_mode: "none"
  # Performance preset - one of "balanced", "throughput", "scale",
  # "latency", or "custom".
  preset: balanced

  # Protocol - either `http` (default) or `https`.
  protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  username: "elastic"
  password: "elastic_password"</code>
  
 __Explication des paramètres :__

   * hosts : nœuds Elasticsearch où seront envoyées les données (IP ou FQDN + port)
   * protocol : HTTP ou HTTPS en fonction du niveau de sécurité voulu
   * ssl.certificate_autorities : CA utilisée pour signer les certificats SSL (facultatif mais recommandé)
   * ssl.verification_mode : Activée par défaut, mettre à None pour désactiver la vérification du certificat SSL (facultatif et NON recommandé)
   * api_key : token pour la connexion sécurisée à l'API Elasticsearch (facultatif et recommandé)
   * username : Utilisateur Elasticsearch utilisé pour s'authentifier aux nœuds (facultatif)
   * password : Mot de passe de l'utilisateur ES (facultatif) 

==== Création d'une vue ====

==== Création d'un dashboard ====

===== Sources =====

[[https://www.udemy.com/course/complete-elastic-stack-8-course-hands-on-project-included/learn/lecture/40808328#overview|Installation de Metribeat (tuto udemy)]]

[[https://www.elastic.co/guide/en/beats/metricbeat/current/setup-repositories.html|📖 Installation de Metricbeat]]