Rsyslog Para Filebeat através de udp

Elastic In Your Native Tongue Elastic em Português - Brasil
1

Boa tarde,
Estou a tentar enviar logs através de udp (rsyslog) numa máquina ubuntu (192.168.75.138 pel a porta 5141)para outra máquina (filebeat) debian (192.168.75.177) porém mesmo com o firewall configurado não ha comunicação, em anexo envio algumas configurações feitas. As configurações do rsyslog funcionam corretamente no envio de logs para a plataforma graylog mas não para esta a elk.

filebeat2_input

logstash3
logstash3.PNG1598×368 24 KB

netsat
netsat.PNG956×375 12.8 KB

kibana
kibana.PNG726×546 8.31 KB

filebeat2

filebeat2_input

2

Olá João!

Primeiro, vamos tentar fazer uma correção simples na sua configuração do Filebeat. A sintaxe usada na configuração se chama yaml e a indentação nesta sintaxe é de extrema importância para configurar direito (infelizmente o Beats não valida totalmente a configuração), sendo assim existe um erro na sua configuração, você precisa indentar a configuração host para funcionar corretamente. Poderia tentar adicionar dois espaços antes do setting host, para ficar logo abaixo do enabled?

Por exemplo, atualmente está:

- type: udp
  enabled: true
host: "192.168.75.138:5141"

Tente mudar para:

- type: udp
  enabled: true
  host: "192.168.75.138:5141"

Abs!

3

Boas,
Já corrigi, fui ao ultimo log criado pelo filebeat e foi apresentado o seguinte

cat_filebeat

4

Bem agora o Filebeat está reclamando que não consegue abrir o servidor udp neste ip com esta porta. Será que já não tem outro processo rodando nesta porta?

5

Já verifiquei e também já alterei a porta para confirmar. O log do filebeat continua o mesmo, as configurações estão corretas, o filebeat está a enviar para o logstash mas não está a receber.

6

Essa mensagem no log bind: cannot assign requested address significa que o filebeat não está conseguindo abrir o servidor udp na interface confgurada 192.168.75.138:5141. Dois motivos para isso acontecer:

  1. Já existe outro processo rodando na porta 5141. Use o comando netstat -lpu | grep 5141 para te ajudar a identificar isso.
  2. O endereço IP 192.168.75.138 pode estar errado. Verifique com ifconfig (ou ip addr, dependo da distribuição que estiver usando) se este IP é realmente o IP deste servidor que está tentando rodar o Filebeat.
7

Parece que já consegui, usei tipo syslog com protocol.udp e parece ter funcionado, agora não estou é a conseguir indexar os logs no elasticsearch:

cat_filebeat
cat_filebeat.PNG1404×358 27.4 KB

[filebeat]

cat_logstash
cat_logstash.PNG1604×292 42.1 KB

[logstash]

cat_elastic1
cat_elastic1.PNG1266×823 97.9 KB

[elasticsearch]
cat_elastic2
cat_elastic2.PNG1120×819 39.3 KB