В одном из предыдущих этапов мы включили Filebeat, но не настроили его! Теперь мы убедимся, что настраиваем службу Filebeat для отправки данных в наш стек.
Начнем с включения модулей system и threatintel.
sudofilebeatmodulesenablesystemthreatintel
Чтобы убедиться, что мы не столкнемся с проблемами сертификатов, нам также нужно убедиться, что мы добавляем наш корневой сертификат (CA) в доверенное хранилище нашего стека ELK.
Теперь нам следует настроить учетные данные так, чтобы служба Filebeat работала с минимальными привилегиями. Мы могли бы разрешить ей работать от имени пользователя root, что, конечно, бы работало, но такой подход крайне небезопасен в случае компрометации или наличия уязвимостей. В качестве лучшей практики для правильного управления идентификацией и управления доступом (IAM) на основе ролей (RBAC), мы уделяем внимание тому, чтобы ограничить доступ этой службы в нашем кластере.
