一、Filebeat是什么
轻量型日志采集器
无论您是从安全设备、云、容器、主机还是 OT 进行数据收集,Filebeat 都将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。
Filebeat 随附可观测性和安全数据源模块,这些模块简化了常见格式的日志的收集、解析和可视化过程,只需一条命令即可。之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)与 Elasticsearch 采集节点管道的定义和 Kibana 仪表板组合在一起。不仅如此,Filebeat 的一些模块还随附了预配置的 Machine Learning 作业。
Filebeat工作的流程图如下:
二、Filebeat 下载&安装
2.1 下载&安装
Filebeat下载地址:https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.17.4-linux-x86_64.tar.gz
下载后,解压tar -zxvf filebeat-7.17.4-linux-x86_64.tar.gz
[root@nb002 tools]# ls
elasticsearch-7.17.4-x86_64.rpm logstash-7.17.4-linux-x86_64.tar.gz
filebeat-7.17.4-linux-x86_64.tar.gz kibana-7.17.4-linux-x86_64.tar.gz
[root@nb002 tools]# tar -zxvf filebeat-7.17.4-linux-x86_64.tar.gz
filebeat-7.17.4-linux-x86_64/filebeat.reference.yml
filebeat-7.17.4-linux-x86_64/filebeat.yml
filebeat-7.17.4-linux-x86_64/LICENSE.txt
filebeat-7.17.4-linux-x86_64/.build_hash.txt
filebeat-7.17.4-linux-x86_64/module/
filebeat-7.17.4-linux-x86_64/module/activemq/
filebeat-7.17.4-linux-x86_64/module/activemq/audit/
filebeat-7.17.4-linux-x86_64/module/activemq/audit/config/
……………省略一堆balabala…………………
filebeat-7.17.4-linux-x86_64/kibana/7/visualization/number-of-kafka-stracktraces-by-class-ecs.json
filebeat-7.17.4-linux-x86_64/filebeat
filebeat-7.17.4-linux-x86_64/NOTICE.txt
filebeat-7.17.4-linux-x86_64/fields.yml解压后,目录如下:
[root@nb002 filebeat-7.17.4]# ll
总用量 136408
-rw-r--r-- 1 root root 3780088 5月 19 00:46 fields.yml
-rwxr-xr-x 1 root root 133695232 5月 19 00:51 filebeat
-rw-r--r-- 1 root root 170451 5月 19 00:46 filebeat.reference.yml
-rw------- 1 root root 8348 5月 19 00:46 filebeat.yml
drwxr-xr-x 3 root root 15 5月 19 00:46 kibana
-rw-r--r-- 1 root root 13675 5月 18 23:28 LICENSE.txt
drwxr-xr-x 76 root root 4096 5月 19 00:46 module
drwxr-xr-x 2 root root 4096 5月 19 00:46 modules.d
-rw-r--r-- 1 root root 1987715 5月 18 23:28 NOTICE.txt
-rw-r--r-- 1 root root 814 5月 19 00:51 README.md2.2 service方式启动
vim /usr/lib/systemd/system/filebeat.service :也就是在/usr/lib/systemd/system/下新建filebeat.service输入以下内容:
注意ExecStart的路径哈。
[Unit]
Description=Filebeat sends log files to Logstash or directly to Elasticsearch
Wants=network-online.target
After=network-online.target[Service]
ExecStart=/data/filebeat-7.17.4/filebeat -c /data/filebeat-7.17.4/filebeat.yml
Restart=always[Install]
WantedBy=multi-user.target启动方式为:
systemctl daemon-reload
systemctl start filebeat
三、Filebeat 实时读取一个日志文件,输出到屏幕
3.1 修改filebeat的配置文件filebeat.yml
filebeat.inputs:
- type: filestreamid: nginx-access-logenabled: truepaths:# 表示去/tmp下读取所有.log文件- /tmp/*.logfilebeat.config.modules:path: ${path.config}/modules.d/*.ymlreload.enabled: falsesetup.template.settings:index.number_of_shards: 1# output to console
output
![[NSSCTF Round#16 Basic]RCE但是没有完全RCE](https://img-blog.csdnimg.cn/direct/bf07a8c6bbfb4ec4a74a2a22e5053306.png#pic_center)
