ELK Troubleshooting: Fehlende Indizes beheben

Wenn der Befehl sudo filebeat test output ein “OK” liefert, aber unter http://192.168.110.60:9200/_cat/indices?v keine Indizes erscheinen, folgen Sie diesen Schritten.

Symptom-Check

  • Verbindung: OK (getestet via curl oder filebeat test).

  • Dienst: Filebeat läuft auf dem Kali.

  • Problem: Die Liste der Indizes zeigt nur interne Kibana-Einträge, aber kein filebeat-*.

Schritt 1: Index-Templates manuell laden

Elasticsearch benötigt einen “Bauplan” (Template), um die Daten von Filebeat zu akzeptieren. Wenn dieser fehlt, werden Daten oft verworfen.

Führen Sie auf dem Kali aus:

# Lädt Dashboards und Index-Templates auf die LM1
sudo filebeat setup -e

Schritt 2: Berechtigungen und rsyslog prüfen

Filebeat kann nur senden, was es lesen kann. Stellen Sie sicher, dass die Log-Datei existiert und lesbar ist.

# Sicherstellen, dass rsyslog die Datei schreibt
sudo systemctl restart rsyslog

# Leserechte für Filebeat setzen
sudo chmod 644 /var/log/auth.log

Schritt 3: Filebeat Registry Reset (Daten-Erzwingung)

Filebeat merkt sich, bis zu welcher Zeile es eine Datei gelesen hat. Um Filebeat zu zwingen, die gesamte auth.log von vorne zu senden, muss die Registry gelöscht werden.

# 1. Dienst stoppen
sudo systemctl stop filebeat

# 2. Lesestatus löschen
sudo rm -rf /var/lib/filebeat/registry

# 3. Dienst starten
sudo systemctl start filebeat

Schritt 4: Manuelle Test-Daten generieren

Filebeat reagiert oft erst, wenn sich die Datei ändert. Generieren Sie künstliche Fehlversuche direkt im Terminal:

# Erzeugt 5 sofortige fehlgeschlagene Login-Einträge
for i in {1..5}; do logger -t sshd "Failed password for root from 127.0.0.1 port 1234 ssh2"; done

# Manueller Versuch via su
su -c "ls" unbekannter_user

Schritt 5: Live-Analyse (Debug Mode)

Wenn immer noch kein Index erscheint, starten Sie Filebeat im Vordergrund. Dies zeigt Ihnen in Echtzeit, ob Events versendet werden (PublishEvents: X events have been published).

# Filebeat im Vordergrund mit Debug-Output starten
sudo filebeat -e -v

Erfolgskontrolle

Aktualisieren Sie die Browserseite auf der LM1:

http://192.168.110.60:9200/_cat/indices?v

Sobald eine Zeile mit filebeat-8.10.2-... erscheint, war die Fehlerbehebung erfolgreich.