配置 Kibana 仪表盘加载
编辑配置 Kibana 仪表盘加载
编辑Auditbeat 附带示例 Kibana 仪表盘、可视化和搜索功能,用于在 Kibana 中可视化 Auditbeat 数据。
要加载仪表盘,您可以启用 auditbeat.yml 配置文件 setup.dashboards 部分中的仪表盘加载,也可以运行 setup 命令。默认情况下禁用仪表盘加载。
启用仪表盘加载后,Auditbeat 使用 Kibana API 加载示例仪表盘。仅在 Auditbeat 启动时才尝试加载仪表盘。如果启动时 Kibana 不可用,Auditbeat 将停止并报错。
要启用仪表盘加载,请将以下设置添加到配置文件
setup.dashboards.enabled: true
配置选项
编辑您可以在 auditbeat.yml 配置文件的 setup.dashboards 部分中指定以下选项
setup.dashboards.enabled
编辑如果将此选项设置为 true,Auditbeat 将从 Auditbeat 安装的 home 路径下的本地 kibana 目录加载示例 Kibana 仪表盘。
如果将 enabled 设置为 true 或在配置中包含 setup.dashboards 部分,Auditbeat 将在启动时加载仪表盘。
启用仪表盘加载后,Auditbeat 会覆盖与您正在加载的仪表盘名称匹配的任何现有仪表盘。每次 Auditbeat 启动时都会发生这种情况。
如果未设置其他选项,则仪表盘将从 Auditbeat 安装的 home 路径下的本地 kibana 目录加载。要从其他位置加载仪表盘,您可以配置以下选项之一:setup.dashboards.directory、setup.dashboards.url 或 setup.dashboards.file。
setup.dashboards.directory
编辑包含要加载的仪表盘的目录。默认为 home 路径下的 kibana 文件夹。
setup.dashboards.url
编辑用于下载仪表盘存档的 URL。如果设置此选项,Auditbeat 将从指定的 URL 下载仪表盘存档,而不是使用本地目录。
setup.dashboards.file
编辑包含要加载的仪表盘的文件存档(zip 文件)。如果设置此选项,Auditbeat 将在指定的路径中查找仪表盘存档,而不是使用本地目录。
setup.dashboards.beat
编辑如果存档包含多个 Beats 的仪表盘,此设置允许您选择要为其加载仪表盘的 Beat。要加载存档中的所有仪表盘,请将此选项设置为空字符串。默认为 "auditbeat"。
setup.dashboards.kibana_index
编辑用于设置配置的 Kibana 索引的名称。默认为 ".kibana"
setup.dashboards.index
编辑Elasticsearch 索引名称。此设置将覆盖仪表盘和索引模式中定义的索引名称。例如:"testbeat-*"
此设置仅适用于 Kibana 6.0 及更高版本。
setup.dashboards.always_kibana
编辑强制使用 Kibana API 加载仪表盘,而无需查询 Elasticsearch 版本。默认为 false。
setup.dashboards.retry.enabled
编辑如果将此选项设置为 true,并且在加载仪表盘时无法访问 Kibana,则 Auditbeat 将尝试重新连接到 Kibana,而不是退出并报错。默认情况下禁用。
setup.dashboards.retry.interval
编辑Kibana 连接重试之间的持续时间间隔。默认为 1 秒。
setup.dashboards.retry.maximum
编辑在退出并报错之前的最大重试次数。设置为 0 表示无限重试。默认为无限次。
setup.dashboards.string_replacements
编辑用于替换仪表盘及其引用内容中查找字符串的查找和替换字符串映射。