Auditbeat 命令参考
编辑Auditbeat 命令参考编辑
Auditbeat 提供了一个命令行界面,用于启动 Auditbeat 和执行常见任务,如测试配置文件和加载仪表板。
命令行还支持全局标志,用于控制全局行为。
如果满足以下条件,请使用sudo运行以下命令:
- 配置文件由
root所有,或者 - Auditbeat 配置为捕获需要
root访问权限的数据
此处描述的某些功能需要 Elastic 许可证。有关更多信息,请参阅https://elastic.ac.cn/subscriptions 和许可证管理。
| 命令 | |
|---|---|
将配置、索引模板、ILM 策略或仪表板导出到 stdout。 |
|
显示任何命令的帮助。 |
|
管理密钥库。 |
|
运行 Auditbeat。如果在未指定命令的情况下启动 Auditbeat,则默认使用此命令。 |
|
设置初始环境,包括索引模板、ILM 策略和写入别名,以及 Kibana 仪表板(如果可用)。 |
|
测试配置。 |
|
显示有关当前版本的信息。 |
另请参阅全局标志。
export 命令编辑
将配置、索引模板、ILM 策略或仪表板导出到 stdout。您可以使用此命令快速查看您的配置,查看索引模板和 ILM 策略的内容,或从 Kibana 导出仪表板。
语法
auditbeat export SUBCOMMAND [FLAGS]
子命令
-
config - 将当前配置导出到 stdout。如果使用
-c标志,则此命令将导出在指定文件中定义的配置。 -
dashboard -
导出仪表板。您可以使用此选项将仪表板存储在模块的磁盘上,并自动加载它。例如,要将仪表板导出到 JSON 文件,请运行
auditbeat export dashboard --id="DASHBOARD_ID" > dashboard.json
要查找
DASHBOARD_ID,请查看 Kibana 中仪表板的 URL。默认情况下,export dashboard将仪表板写入 stdout。该示例显示了如何将仪表板写入 JSON 文件,以便您以后可以导入它。JSON 文件将包含带有所有可视化和搜索的仪表板。您必须单独为 Auditbeat 加载索引模式。要加载仪表板,请将生成的
dashboard.json文件复制到 Auditbeat 的kibana/6/dashboard目录中,然后运行auditbeat setup --dashboards导入仪表板。如果 Kibana 未在
localhost:5061上运行,则还必须在setup.kibana下调整 Auditbeat 配置。 -
template - 将索引模板导出到 stdout。您可以指定
--es.version标志以进一步定义要导出的内容。此外,您可以通过--dir定义目录,将模板导出到文件而不是stdout。
标志
-
--es.version VERSION - 与
template一起使用时,将导出与指定版本兼容的索引模板。与ilm-policy一起使用时,如果为 ILM 启用了指定的 ES 版本,则导出 ILM 策略。 -
-h, --help - 显示
export命令的帮助。 -
--dir DIRNAME - 定义一个目录,将模板、管道和 ILM 策略作为文件导出到该目录,而不是将它们打印到
stdout。 -
--id DASHBOARD_ID - 与
dashboard一起使用时,指定仪表板 ID。
另请参阅全局标志。
示例
auditbeat export config auditbeat export template --es.version 8.14.3 auditbeat export dashboard --id="a7b35890-8baa-11e8-9676-ef67484126fb" > dashboard.json
help 命令编辑
显示任何命令的帮助。如果未指定命令,则显示run命令的帮助。
语法
auditbeat help COMMAND_NAME [FLAGS]
-
COMMAND_NAME - 指定要显示其帮助的命令的名称。
标志
-
-h, --help - 显示
help命令的帮助。
另请参阅全局标志。
示例
auditbeat help export
keystore 命令编辑
管理密钥库。
语法
auditbeat keystore SUBCOMMAND [FLAGS]
子命令
-
add KEY - 将指定的密钥添加到密钥库。使用
--force标志覆盖现有密钥。使用--stdin标志通过stdin传递值。 -
create - 创建一个用于保存密钥的密钥库。使用
--force标志覆盖现有的密钥库。 -
list - 列出密钥库中的密钥。
-
remove KEY - 从密钥库中删除指定的密钥。
标志
-
--force - 对
add和create子命令有效。与add一起使用时,将覆盖指定的密钥。与create一起使用时,将覆盖密钥库。 -
--stdin - 与
add一起使用时,使用 stdin 作为密钥值的来源。 -
-h, --help - 显示
keystore命令的帮助。
另请参阅全局标志。
示例
auditbeat keystore create auditbeat keystore add ES_PWD auditbeat keystore remove ES_PWD auditbeat keystore list
有关更多示例,请参阅密钥库。
run 命令编辑
运行 Auditbeat。如果在未指定命令的情况下启动 Auditbeat,则默认使用此命令。
语法
auditbeat run [FLAGS]
或者
auditbeat [FLAGS]
标志
-
-N, --N - 出于测试目的禁用发布。此选项将禁用除文件输出之外的所有输出。
-
--cpuprofile FILE - 将 CPU 配置文件数据写入指定文件。此选项对 Auditbeat 故障排除很有用。
-
-h, --help - 显示
run命令的帮助。 -
--httpprof [HOST]:PORT - 启动用于分析的 http 服务器。此选项对 Auditbeat 的故障排除和分析很有用。
-
--memprofile FILE - 将内存配置文件数据写入指定的输出文件。此选项对 Auditbeat 故障排除很有用。
-
--system.hostfs MOUNT_POINT - 指定主机文件系统的挂载点,用于监控主机。此标志已弃用,应通过
hostfs模块配置值指定备用 hostfs。
另请参阅全局标志。
示例
auditbeat run -e
或者
auditbeat -e
setup 命令编辑
设置初始环境,包括索引模板、ILM 策略和写入别名,以及 Kibana 仪表板(如果可用)
- 索引模板确保字段在 Elasticsearch 中正确映射。如果启用了索引生命周期管理,则它还确保定义的 ILM 策略和写入别名连接到与索引模板匹配的索引。ILM 策略负责索引的生命周期,何时进行滚动,何时将索引从热阶段移动到下一阶段,等等。
- Kibana 仪表板使您更容易在 Kibana 中可视化 Auditbeat 数据。
此命令设置环境,而不实际运行 Auditbeat 和获取数据。指定可选标志以设置资产子集。
语法
auditbeat setup [FLAGS]
标志
-
--dashboards - 设置 Kibana 仪表板(如果可用)。此选项从 Auditbeat 包加载仪表板。有关更多选项,例如加载自定义仪表板,请参阅 *Beats 开发人员指南* 中的导入现有 Beat 仪表板。
-
-h, --help - 显示
setup命令的帮助。 -
--index-management - 设置与 Elasticsearch 索引管理相关的组件,包括模板、ILM 策略和写入别名(如果支持并配置)。
另请参阅全局标志。
示例
auditbeat setup --dashboards auditbeat setup --index-management
test 命令编辑
测试配置。
语法
auditbeat test SUBCOMMAND [FLAGS]
子命令
-
config - 测试配置设置。
-
output - 测试 Auditbeat 是否可以使用当前设置连接到输出。
标志
-
-h, --help - 显示
test命令的帮助。
另请参阅全局标志。
示例
auditbeat test config
version 命令编辑
显示有关当前版本的信息。
语法
auditbeat version [FLAGS]
标志
-
-h, --help - 显示
version命令的帮助。
另请参阅全局标志。
示例
auditbeat version
全局标志编辑
每当您运行 Auditbeat 时,都可以使用这些全局标志。
-
-E, --E "SETTING_NAME=VALUE" -
覆盖特定的配置设置。您可以指定多个覆盖。例如
auditbeat -E "name=mybeat" -E "output.elasticsearch.hosts=['http://myhost:9200']"
此设置应用于当前运行的 Auditbeat 进程。Auditbeat 配置文件不会更改。
-
-c, --c FILE - 指定用于 Auditbeat 的配置文件。您在此处指定的文件相对于
path.config。如果未指定-c标志,则使用默认配置文件auditbeat.yml。 -
-d, --d SELECTORS - 为指定的 selectors 启用调试。对于 selectors,您可以指定以逗号分隔的组件列表,也可以使用
-d "*"为所有组件启用调试。例如,-d "publisher"显示所有与发布者相关的消息。 -
-e, --e - 将日志记录到 stderr 并禁用 syslog/文件输出。
-
-environment - 出于日志记录目的,指定 Auditbeat 运行的环境。当未配置日志输出时,此设置用于选择默认日志输出。支持的值有:
systemd、container、macos_service和windows_service。如果指定了systemd或container,Auditbeat 默认会将日志记录到 stdout 和 stderr。 -
--path.config - 设置配置文件的路径。有关详细信息,请参阅“目录布局”部分。
-
--path.data - 设置数据文件的路径。有关详细信息,请参阅“目录布局”部分。
-
--path.home - 设置其他文件的路径。有关详细信息,请参阅“目录布局”部分。
-
--path.logs - 设置日志文件的路径。有关详细信息,请参阅“目录布局”部分。
-
--strict.perms - 对配置文件设置严格的权限检查。默认值为
-strict.perms=true。有关更多信息,请参阅“配置文件所有权和权限”。 -
-v, --v - 记录 INFO 级别的消息。