Auditbeat 和 systemd
编辑Auditbeat 和 systemd
编辑DEB 和 RPM 包包含一个适用于具有 systemd 的 Linux 系统的服务单元。在这些系统上,您可以使用常用的 systemd 命令来管理 Auditbeat。
服务单元配置为 UMask=0027,这意味着 Auditbeat 创建的文件允许的最宽松掩码是 0640。所有配置的文件权限高于 0640 的都将被忽略。如果您需要更改此设置,请手动编辑单元文件。
启动和停止 Auditbeat
编辑使用 systemctl 启动或停止 Auditbeat
sudo systemctl start auditbeat
sudo systemctl stop auditbeat
默认情况下,Auditbeat 服务会在系统启动时自动启动。要启用或禁用自动启动,请使用:
sudo systemctl enable auditbeat
sudo systemctl disable auditbeat
Auditbeat 状态和日志
编辑要获取服务状态,请使用 systemctl
systemctl status auditbeat
日志默认存储在 journald 中。要查看日志,请使用 journalctl
journalctl -u auditbeat.service
自定义 Auditbeat 的 systemd 单元
编辑systemd 服务单元文件包含可以覆盖以更改默认选项的环境变量。
| 变量 | 描述 | 默认值 |
|---|---|---|
BEAT_LOG_OPTS |
日志选项 |
|
BEAT_CONFIG_OPTS |
配置文件路径标志 |
|
BEAT_PATH_OPTS |
其他路径 |
|
您可以使用 BEAT_LOG_OPTS 设置日志记录的调试选择器。但是,要配置日志记录行为,请设置配置日志记录中描述的日志记录选项。
要覆盖这些变量,请在 /etc/systemd/system/auditbeat.service.d 目录中创建一个嵌入式单元文件。
例如,将包含以下内容的文件放置在 /etc/systemd/system/auditbeat.service.d/debug.conf 中将覆盖 BEAT_LOG_OPTS 以启用 Elasticsearch 输出的调试。
[Service] Environment="BEAT_LOG_OPTS=-d elasticsearch"
要应用更改,请重新加载 systemd 配置并重新启动服务。
systemctl daemon-reload systemctl restart auditbeat
建议您使用配置管理工具来包含嵌入式单元文件。如果您需要手动添加嵌入式单元文件,请使用 systemctl edit auditbeat.service。