嗨,我正在使用7.1.1版本的麋鹿堆栈安装了x-pack,并且我正在尝试配置和设置Auditbeat,但是在启动时显示以下错误:
ERROR instance/beat.go:916 Exiting: 2 errors: 1 error: failed to create audit client: failed to get audit status: operation not permitted; 1 error: unable to create DNS sniffer: failed creating af_packet sniffer: operation not permitted
退出:2个错误:1个错误:创建审核客户端失败:无法获得审核状态:不允许操作; 1错误:无法创建DNS嗅探器:创建af_packet嗅探器失败:不允许操作
我的auditfile conf
auditbeat.modules:
- module: auditd
audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
audit_rules: |
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
- module: system
datasets:
- host
- login
- package
- process
- socket
- user
state.period: 12h
user.detect_password_changes: true
login.wtmp_file_pattern: /var/log/wtmp*
login.btmp_file_pattern: /var/log/btmp*
setup.template.settings:
index.number_of_shards: 1
index.codec: best_compression
setup.kibana:
host: "localhost:5601"
output.elasticsearch:
hosts: ["localhost:9200"]
username: "elastic"
password: "mypassword"
请帮我解决。
最佳答案
我认为您已经在非特权用户下启动了auditbeat。
由于auditbeat必须与auditd进行交互,因此大多数 Activity 应由root执行。 [至少在我的情况下,root权限解决了相同的问题]
PS:如果您无法切换到root用户,请尝试以下操作:
link
关于elasticsearch - 无法启动auditbeat,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59527635/