elasticsearch - 无法启动auditbeat

标签 elasticsearch elastic-stack

嗨,我正在使用7.1.1版本的麋鹿堆栈安装了x-pack,并且我正在尝试配置和设置Auditbeat,但是在启动时显示以下错误:

ERROR   instance/beat.go:916    Exiting: 2 errors: 1 error: failed to create audit client: failed to get audit status: operation not permitted; 1 error: unable to create DNS sniffer: failed creating af_packet sniffer: operation not permitted

退出:2个错误:1个错误:创建审核客户端失败:无法获得审核状态:不允许操作; 1错误:无法创建DNS嗅探器:创建af_packet嗅探器失败:不允许操作

我的auditfile conf
auditbeat.modules:

- module: auditd
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |

- module: file_integrity
  paths:
  - /bin
  - /usr/bin
  - /sbin
  - /usr/sbin
  - /etc

- module: system
  datasets:
    - host
    - login
    - package
    - process
    - socket
    - user

  state.period: 12h
  user.detect_password_changes: true
  login.wtmp_file_pattern: /var/log/wtmp*
  login.btmp_file_pattern: /var/log/btmp*

 setup.template.settings:
      index.number_of_shards: 1
      index.codec: best_compression

 setup.kibana:
     host: "localhost:5601"

  output.elasticsearch: 
      hosts: ["localhost:9200"]
      username: "elastic"
      password: "mypassword"

请帮我解决。

最佳答案

我认为您已经在非特权用户下启动了auditbeat。
由于auditbeat必须与auditd进行交互,因此大多数 Activity 应由root执行。 [至少在我的情况下,root权限解决了相同的问题]

PS:如果您无法切换到root用户,请尝试以下操作:
link

关于elasticsearch - 无法启动auditbeat,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59527635/

相关文章:

elasticsearch - 将boost by field添加到前缀和match_phrase_prefix查询

logging - Logstash配置更改-重新解析旧日志

elasticsearch - 是否可以找到文档所在的 elasticsearch 分片?

networking - Docker:将日志发送到本地主机不起作用,但 0.0.0.0 可以工作,为什么?

python - Elasticsearch结果限制问题

elasticsearch - 如何在 ElasticSearch 5.3 中启用匿名访问

elasticsearch - 如何让 Elasticsearch 忽略 char_filter 清空的术语?

elasticsearch - Elasticsearch 和Logstash性能调优

spring-boot - Elastic Search高级客户端版本问题

elasticsearch - 使用 Logstash 建立索引时如何修复 Elasticsearch 中的重复文档?