elasticsearch - 无法启动auditbeat

Question

嗨，我正在使用7.1.1版本的麋鹿堆栈安装了x-pack，并且我正在尝试配置和设置Auditbeat，但是在启动时显示以下错误:

ERROR   instance/beat.go:916    Exiting: 2 errors: 1 error: failed to create audit client: failed to get audit status: operation not permitted; 1 error: unable to create DNS sniffer: failed creating af_packet sniffer: operation not permitted

退出:2个错误:1个错误:创建审核客户端失败:无法获得审核状态:不允许操作； 1错误:无法创建DNS嗅探器:创建af_packet嗅探器失败:不允许操作

我的auditfile conf

auditbeat.modules:

- module: auditd
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

- module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

- module: system
  datasets:
    - host
    - login
    - package
    - process
    - socket
    - user

  state.period: 12h
  user.detect_password_changes: true
  login.wtmp_file_pattern: /var/log/wtmp*
  login.btmp_file_pattern: /var/log/btmp*

 setup.template.settings:
      index.number_of_shards: 1
      index.codec: best_compression

 setup.kibana:
     host: "localhost:5601"

  output.elasticsearch: 
      hosts: ["localhost:9200"]
      username: "elastic"
      password: "mypassword"

请帮我解决。

Answer 1

我认为您已经在非特权用户下启动了auditbeat。
由于auditbeat必须与auditd进行交互，因此大多数 Activity 应由root执行。 [至少在我的情况下，root权限解决了相同的问题]

PS:如果您无法切换到root用户，请尝试以下操作:
link