Auditbeat 与 systemd

Auditbeat 与 systemd编辑

DEB 和 RPM 软件包包含一个适用于使用 systemd 的 Linux 系统的服务单元。在这些系统上，您可以使用常用的 systemd 命令来管理 Auditbeat。

服务单元配置了 UMask=0027，这意味着 Auditbeat 创建的文件允许的最宽松掩码是 0640。所有高于 0640 的已配置文件权限都将被忽略。如果您需要更改该设置，请手动编辑单元文件。

使用 systemctl 启动或停止 Auditbeat

sudo systemctl start auditbeat

sudo systemctl stop auditbeat

默认情况下，Auditbeat 服务会在系统启动时自动启动。要启用或禁用自动启动，请使用

sudo systemctl enable auditbeat

sudo systemctl disable auditbeat

要获取服务状态，请使用 systemctl

systemctl status auditbeat

日志默认存储在 journald 中。要查看日志，请使用 journalctl

journalctl -u auditbeat.service

systemd 服务单元文件包含环境变量，您可以覆盖这些变量以更改默认选项。

变量	说明	默认值
BEAT_LOG_OPTS	日志选项
BEAT_CONFIG_OPTS	配置文件路径的标志	`-c /etc/auditbeat/auditbeat.yml`
BEAT_PATH_OPTS	其他路径	`-path.home /usr/share/auditbeat -path.config /etc/auditbeat -path.data /var/lib/auditbeat -path.logs /var/log/auditbeat`

您可以使用 BEAT_LOG_OPTS 为日志记录设置调试选择器。但是，要配置日志记录行为，请设置配置日志记录中描述的日志记录选项。

要覆盖这些变量，请在 /etc/systemd/system/auditbeat.service.d 目录中创建一个 drop-in 单元文件。

例如，将包含以下内容的文件放在 /etc/systemd/system/auditbeat.service.d/debug.conf 中将覆盖 BEAT_LOG_OPTS 以启用 Elasticsearch 输出的调试。

[Service]
Environment="BEAT_LOG_OPTS=-d elasticsearch"

要应用您的更改，请重新加载 systemd 配置并重新启动服务

systemctl daemon-reload
systemctl restart auditbeat

建议您使用配置管理工具来包含 drop-in 单元文件。如果您需要手动添加 drop-in，请使用 systemctl edit auditbeat.service。