Filebeat — это легкий агент для пересылки и централизации журналов и файлов. Он позволяет собирать данные из различных источников, таких как журналы системы, аудита, приложений и многих других, и отправлять их в выбранные хранилища данных для дальнейшего анализа.
Не забываем, что с IP адресов РФ скачать дистрибутивы не получится.

Шаг 1: Установка Elasticsearch GPG ключа
Прежде чем начать установку Filebeat, необходимо добавить GPG ключ Elasticsearch в вашу систему. Для этого выполните следующую команду:

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Шаг 2: Добавление репозитория Elastic
Далее добавим репозиторий Elastic для загрузки пакета Filebeat. Создайте файл репозитория с помощью следующей команды:

sudo vi /etc/yum.repos.d/elastic.repo

И добавьте следующий текст в файл:

[elastic]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Сохраните изменения и закройте файл.

Шаг 3: Установка Filebeat
Теперь можно приступить к установке самого Filebeat. Выполните следующие команды:

sudo yum install filebeat

После успешной установки необходимо сконфигурировать Filebeat для сбора данных.

Шаг 4: Настройка Filebeat
Файл конфигурации Filebeat находится по пути /etc/filebeat/filebeat.yml. Отредактируйте этот файл с помощью любого текстового редактора (например, vi или nano) и сконфигурируйте соответствующие параметры, такие как пути к журналам или адрес удаленного хоста для отправки данных.

Шаг 5: Запуск сервиса Filebeat
После завершения настройки запустите сервис Filebeat с помощью следующей команды:

sudo systemctl start filebeat

Чтобы автоматически запускать сервис при загрузке системы, выполните:

sudo systemctl enable filebeat

Теперь вы успешно установили и настроили Filebeat на CentOS. Проверьте работоспособность конфигурации и начинайте сбор данных!