#logstash #elastic-stack #elk #elastic-beats
Вопрос:
Я настраиваю auditbeat, однако я фильтрую данные аудита с помощью logstash и отправляю их в другой приемник. Тем не менее, auditbeat выдает ошибку во время настройки. Любые советы о том, как настроить auditbeat, чтобы обойти ошибку, очень ценятся.
Появляется следующая ошибка:
2021-08-06T21:34:03.904Z ERROR instance/beat.go:989 Exiting: Index management requested but the Elasticsearch output is not configured/enabled
Exiting: Index management requested but the Elasticsearch output is not configured/enabled
Моя конфигурация выглядит следующим образом (версия 7.14.0):
auditbeat.modules:
- module: file_integrity
enabled: true
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
recursive: true
- module: system
datasets:
- login
- user
period: 10s
user.detect_password_changes: true
fields_under_root: true
fields:
APP_NAME: "auditbeat"
SUB_SYSTEM: “<redacted>”
output.elasticsearch:
enabled: false
output.logstash:
enabled: true
hosts: [“<redacted”>]
bulk_max_size: 4096
output.kafka:
enabled: false
setup.template.enabled: false
setup.ilm.enabled: false
setup.ilm.check_exists: false
logging.metrics.enabled: false
Комментарии:
1. какую версию вы используете?