Installation des beats (ELK)

Procédure d'installation des beats (agents de collecte pour ELK) : Metricbeat, Filebeat, Packetbeat, Heartbeat, Auditbeat et WinLogbeat. Exemple avec MetricBeat (même façon de faire pour les autres).

Pour installer les beats sous Debian/Ubuntu & dérivés :

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list
sudo apt-get update && sudo apt-get install metricbeat

Pour installer les beats sous RHEL/CentOS & dérivés :

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Créer un fichier avec l'extension .repo dans le répertoire /etc/yum.repos.d/ et le remplir avec ces lignes :

[elastic-8.x]
name=Elastic repository for 8.x packages
baseurl=https://artifacts.elastic.co/packages/8.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Installer le paquet Metricbeat :

sudo yum install metricbeat

Une fois installé : Activer Metricbeat au démarrage :

sudo systemctl enable metricbeat

La configuration des beats est stockée par défaut dans le répertoire /etc/<beat>/. La configuration générale des beats se fait au format YAML dans un fichier nommé <beat>.yml. La configuration des modules est également définie au format YAML dans le sous-répertoire modules.d/.

Par exemple pour Metricbeat, le répertoire de configuration est /etc/metricbeat/, sa configuration générale est dans le fichier /etc/metricbeat/metricbeat.yml et ses modules sont situés dans le répertoire /etc/metricbeat/modules.d/.

à rédiger

📖 What are Beats ? (Elastic)

📖 Installation de Metricbeat (Elastic)