上一篇文章介绍了如何安装ELK协议栈,其中Filebeat可以从input读取日志信息,经过相应解析和处理之后,从output输出到目标存储库。输入可以从Log、Syslog、Stdin、Redis、UDP、Docker、TCP、NetFlow输入,然后可以输出到Elasticsearch、Logstash、Kafka、Redis、File、Console、Cloud。

Filebeat支持的module:

本文使用Filebeat内置的cisco.yml模块,以思科ASA防火墙为例,把log输出到Elasticsearch,并在Kibana中查阅。

安装Filebeat
[root@cncs ~]# yum install filebeat -y
配置开机自启动和开启服务
[root@cncs ~]# systemctl enable filebeat
[root@cncs ~]# systemctl start filebeat
修改Filebeat总体配置

指定Elasticsearch和Kibana参数

[root@cncs ~]# vi /etc/filebeat/filebeat.yml
setup.kibana:
  host: "10.18.224.112:5601"
output.elasticsearch:
  hosts: ["10.18.224.112:9200"]
  # 自定义索引
  indices:
    - index: "filebeat-asa_%{+yyyy.MM.dd}"
      when.equals:
        fileset.name: "asa"
    - index: "filebeat-ios_%{+yyyy.MM.dd}"
      when.equals:
        fileset.name: "ios"
启用cisco模块
[root@cncs ~]# filebeat modules enable cisco
Enabled cisco
[root@cncs ~]# filebeat modules list
Enabled:
cisco

Disabled:
activemq
apache
auditd
......
修改cisco模块的配置

该模块支持asa、ftd、ios、nexus、meraki、umbrella、amp等思科设备,这里以asa防火墙为例:

[root@cncs ~]# vi /etc/filebeat/modules.d/cisco.yml
- module: cisco
  asa:
    enabled: true
    var.syslog_host: 0.0.0.0
    var.syslog_port: 514

指定思科asa日志输出端口udp/514

防火墙开放
[root@cncs ~]# firewall-cmd --permanent --add-port=514/udp
[root@cncs ~]# firewall-cmd --reload
使用setup命令加载Kibana dashboards
[root@cncs ~]# filebeat setup
Overwriting ILM policy is disabled. Set `setup.ilm.overwrite: true` for enabling.

Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Setting up ML using setup --machine-learning is going to be removed in 8.0.0. Please use the ML app instead.
See more: https://www.elastic.co/guide/en/machine-learning/current/index.html
Loaded machine learning job configurations
Loaded Ingest pipelines
[root@cncs filebeat]#  service filebeat restart
Restarting filebeat (via systemctl):                       [  OK  ]
Kibana网页端初步设置




Kibana强大的数据展示和分析功能需要自己慢慢挖掘了。