Auditbeat 命令参考

Auditbeat 提供了用于启动 Auditbeat 和执行常见任务（例如测试配置文件和加载仪表板）的命令行界面。

命令行还支持全局标志来控制全局行为。

提示

如果出现以下情况，请使用 sudo 运行以下命令：

配置文件由 root 所有，或者
Auditbeat 配置为捕获需要 root 访问权限的数据

此处描述的某些功能需要 Elastic 许可证。有关更多信息，请参阅 https://elastic.ac.cn/subscriptions 和许可证管理。

命令
`export`	将配置、索引模板、ILM 策略或仪表板导出到标准输出。
`help`	显示任何命令的帮助信息。
`keystore`	管理 secrets keystore。
`run`	运行 Auditbeat。如果您启动 Auditbeat 时未指定命令，则默认使用此命令。
`setup`	设置初始环境，包括索引模板、ILM 策略和写入别名，以及 Kibana 仪表板（如果可用）。
`test`	测试配置。
`version`	显示当前版本的信息。

另请参阅全局标志。

`export` 命令

将配置、索引模板、ILM 策略或仪表板导出到标准输出。您可以使用此命令快速查看配置，查看索引模板和 ILM 策略的内容，或从 Kibana 导出仪表板。

SYNOPSIS

auditbeat export SUBCOMMAND [FLAGS]

子命令

config

将当前配置导出到标准输出。如果您使用 -c 标志，此命令会导出指定文件中定义的配置。

dashboard

导出一个仪表板。您可以使用此选项将仪表板存储在模块的磁盘上并自动加载它。例如，要将仪表板导出到 JSON 文件，请运行

auditbeat export dashboard --id="DASHBOARD_ID" > dashboard.json

要找到 DASHBOARD_ID，请查看 Kibana 中仪表板的 URL。默认情况下，export dashboard 会将仪表板写入标准输出。此示例展示了如何将仪表板写入 JSON 文件，以便您以后可以导入。JSON 文件将包含带有所有可视化和搜索的仪表板。您必须为 Auditbeat 单独加载索引模式。

要加载仪表板，请将生成的 dashboard.json 文件复制到 Auditbeat 的 kibana/6/dashboard 目录中，然后运行 auditbeat setup --dashboards 导入仪表板。

如果 Kibana 未在 localhost:5061 上运行，您还必须调整 setup.kibana 下的 Auditbeat 配置。

template

将索引模板导出到标准输出。您可以使用 --es.version 标志进一步定义导出内容。此外，您可以通过 --dir 指定目录将模板导出到文件而不是 stdout。

ilm-policy: 将索引生命周期管理策略导出到标准输出。您可以指定 --es.version 和一个 --dir，策略将作为文件导出到该目录，而不是导出到 stdout。

标志

--es.version VERSION: 与template 一起使用时，导出与指定版本兼容的索引模板。与ilm-policy 一起使用时，如果指定的 ES 版本启用了 ILM，则导出 ILM 策略。
-h, --help: 显示 export 命令的帮助信息。
--dir DIRNAME: 定义一个目录，模板、管道和 ILM 策略将作为文件导出到该目录，而不是打印到 stdout。
--id DASHBOARD_ID: 与dashboard 一起使用时，指定仪表板 ID。

另请参阅全局标志。

示例

		auditbeat export config
auditbeat export template --es.version 9.0.0
auditbeat export dashboard --id="a7b35890-8baa-11e8-9676-ef67484126fb" > dashboard.json

	

`help` 命令

显示任何命令的帮助信息。如果未指定命令，则显示 run 命令的帮助信息。

SYNOPSIS

auditbeat help COMMAND_NAME [FLAGS]

COMMAND_NAME: 指定要显示帮助信息的命令名称。

标志

-h, --help: 显示 help 命令的帮助信息。

另请参阅全局标志。

示例

auditbeat help export

`keystore` 命令

管理 secrets keystore。

SYNOPSIS

auditbeat keystore SUBCOMMAND [FLAGS]

子命令

add KEY: 将指定的密钥添加到 keystore。使用 --force 标志覆盖现有密钥。使用 --stdin 标志通过 stdin 传递值。
create: 创建一个 keystore 以存储 secrets。使用 --force 标志覆盖现有 keystore。
list: 列出 keystore 中的密钥。
remove KEY: 从 keystore 中移除指定的密钥。

标志

--force: 适用于 add 和 create 子命令。与 add 一起使用时，覆盖指定的密钥。与 create 一起使用时，覆盖 keystore。
--stdin: 与 add 一起使用时，使用 stdin 作为密钥值的来源。
-h, --help: 显示 keystore 命令的帮助信息。

另请参阅全局标志。

示例

		auditbeat keystore create
auditbeat keystore add ES_PWD
auditbeat keystore remove ES_PWD
auditbeat keystore list

	

有关更多示例，请参阅 Secrets keystore。

`run` 命令

运行 Auditbeat。如果您启动 Auditbeat 时未指定命令，则默认使用此命令。

SYNOPSIS

auditbeat run [FLAGS]

或

auditbeat [FLAGS]

标志

-N, --N: 出于测试目的禁用发布。此选项禁用所有输出，除了 File output。
--cpuprofile FILE: 将 CPU profile 数据写入指定文件。此选项对于排查 Auditbeat 问题非常有用。
-h, --help: 显示 run 命令的帮助信息。
--httpprof [HOST]:PORT: 启动一个 http 服务器用于性能分析。此选项对于排查和分析 Auditbeat 问题非常有用。
--memprofile FILE: 将内存 profile 数据写入指定的输出文件。此选项对于排查 Auditbeat 问题非常有用。
--system.hostfs MOUNT_POINT: 指定主机的 filesystem 的挂载点，用于监控主机。此标志已弃用，应通过 hostfs 模块配置值指定备用 hostfs。

另请参阅全局标志。

示例

auditbeat run -e

或

auditbeat -e

`setup` 命令

设置初始环境，包括索引模板、ILM 策略和写入别名，以及 Kibana 仪表板（如果可用）

索引模板确保字段在 Elasticsearch 中正确映射。如果启用了索引生命周期管理，它还确保定义的 ILM 策略和写入别名连接到与索引模板匹配的索引。ILM 策略负责索引的生命周期，例如何时滚动、何时将索引从 hot phase 移动到下一 phase 等。
Kibana 仪表板使您可以更轻松地在 Kibana 中可视化 Auditbeat 数据。

此命令会设置环境，但不会实际运行 Auditbeat 并摄取数据。指定可选标志以设置一部分资产。

SYNOPSIS

auditbeat setup [FLAGS]

标志

--dashboards: 设置 Kibana 仪表板（如果可用）。此选项从 Auditbeat 包中加载仪表板。有关更多选项，例如加载自定义仪表板，请参阅 Importing Existing Beat Dashboards。
-h, --help: 显示 setup 命令的帮助信息。
--index-management: 设置与 Elasticsearch 索引管理相关的组件，包括模板、ILM 策略和写入别名（如果支持并已配置）。

另请参阅全局标志。

示例

		auditbeat setup --dashboards
auditbeat setup --index-management

`test` 命令

测试配置。

SYNOPSIS

auditbeat test SUBCOMMAND [FLAGS]

子命令

config: 测试配置设置。
output: 测试 Auditbeat 是否可以使用当前设置连接到输出。

标志

-h, --help: 显示 test 命令的帮助信息。

另请参阅全局标志。

示例

auditbeat test config

`version` 命令

显示当前版本的信息。

SYNOPSIS

auditbeat version [FLAGS]

标志

-h, --help: 显示 version 命令的帮助信息。

另请参阅全局标志。

示例

auditbeat version

全局标志

运行 Auditbeat 时，以下全局标志可用。

-E, --E "SETTING_NAME=VALUE"

覆盖特定的配置设置。您可以指定多个覆盖。例如

		auditbeat -E "name=mybeat" -E "output.elasticsearch.hosts=['http://myhost:9200']"

	

此设置应用于当前正在运行的 Auditbeat 进程。Auditbeat 配置文件不会更改。

-c, --c FILE

指定 Auditbeat 使用的配置文件。您在此处指定的文件是相对于 path.config 的。如果未指定 -c 标志，则使用默认配置文件 auditbeat.yml。

-d, --d SELECTORS

为指定的 selector 启用调试。对于 selector，您可以指定一个以逗号分隔的组件列表，或者使用 -d "*" 为所有组件启用调试。例如，-d "publisher" 会显示所有与 publisher 相关的消息。

-e, --e

记录到 stderr 并禁用 syslog/file 输出。

--environment

出于日志记录目的，指定 Auditbeat 运行的环境。此设置用于在未配置日志输出时选择默认日志输出。支持的值有：systemd、container、macos_service 和 windows_service。如果指定 systemd 或 container，Auditbeat 默认会记录到 stdout 和 stderr。

--path.config

设置配置文件的路径。详细信息请参阅 Directory layout 部分。

--path.data

设置数据文件的路径。详细信息请参阅 Directory layout 部分。

--path.home

设置杂项文件的路径。详细信息请参阅 Directory layout 部分。

--path.logs

设置日志文件的路径。详细信息请参阅 Directory layout 部分。

--strict.perms

对配置文件设置严格的权限检查。默认值为 --strict.perms=true。有关更多信息，请参阅 Config file ownership and permissions。

-v, --v

记录 INFO 级别消息。