嗨,我使用的是安装了x-pack的7.1.1版的麋鹿堆栈,并且我正在尝试配置和设置Auditbeat,但它在启动时显示以下错误:
2019-12-30T13:35:01.965+0530 ERROR instance/beat.go:802 Exiting: 1 error: 1 error: failed to create audit client: failed to get audit status: operation not permitted
退出:1错误:1错误:无法创建审核客户端:无法获取审核状态:不允许操作
我的审核文件配置文件
auditbeat.modules:
- module: auditd
audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
audit_rules: |
- module: file_integrity
paths:
- /bin
- /usr/bin
- /sbin
- /usr/sbin
- /etc
- module: system
datasets:
- host
- login
- package
- process
- socket
- user
state.period: 12h
user.detect_password_changes: true
login.wtmp_file_pattern: /var/log/wtmp*
login.btmp_file_pattern: /var/log/btmp*
setup.template.settings:
index.number_of_shards: 1
index.codec: best_compression
setup.kibana:
host: "localhost:5601"
output.elasticsearch:
hosts: ["localhost:9200"]
index: "auditbeat-7.1.1-%{+yyyy.MM.dd}"
protocol: "https"
username: "elastic"
password: "mypassword"
setup.template:
name: 'auditbeat'
pattern: 'auditbeat-*'
enabled: false
请帮助我解决问题。
答案 0 :(得分:0)
我认为您已经在非特权用户下启动了auditbeat。 由于auditbeat必须与auditd进行交互,因此大多数活动应由root执行。 [至少根权在我的情况下解决了相同的问题]
PS:如果您不能切换到root用户,请尝试以下操作: link