[4] Logstash – Instalacja
29 marca 2022Zainstaluj Logstash, który zbiera i zarządza różnymi dziennikami.
Aby zapoznać się z opisem Logstasha lub sposobem pisania pliku ustawień, odwiedź oficjalną stronę poniżej: -> https://www.elastic.co/guide/en/logstash/current/index.html.
[1] Zainstaluj Logstash. Skonfiguruj repozytorium dla Elasticsearch przed tym, jak tutaj.
[root@vlsr01 ~]# dnf install logstash
[2] Utwórz plik ustawień i uruchom Logstash.
Na przykład utwórz ustawienie, w którym Logstash zbiera dzienniki błędów sshd z [/var/log/secure] i wyprowadza do indeksu [sshd_fail-rrrr.mm] w elasticsearch.
[root@vlsr01 ~]# mcedit /etc/logstash/conf.d/sshd.conf # stwórz nowy input { file { type => "seucure_log" path => "/var/log/secure" } } filter { grok { add_tag => [ "sshd_fail" ] match => { "message" => "Failed %{WORD:sshd_auth_type} for %{USERNAME:sshd_invalid_user} from %{IP:sshd_client_ip} port %{NUMBER:sshd_port} %{GREEDYDATA:sshd_protocol}" } } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "sshd_fail-%{+YYYY.MM}" } } [root@vlsr01 ~]# chgrp logstash /var/log/secure [root@vlsr01 ~]# chmod 640 /var/log/secure [root@vlsr01 ~]# systemctl enable --now logstash
[3] Kilka minut później upewnij się, że dzienniki są zbierane normalnie.
# pokaż listę indeksu [root@vlsr01 ~]# curl localhost:9200/_cat/indices?v health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open .geoip_databases 3Blp2ITzT3OGMcKpXWQmvQ 1 0 44 0 41.5mb 41.5mb green open .apm-custom-link xQPmqjYQQNGk7jqY47y5lg 1 0 0 0 226b 226b green open .apm-agent-configuration 5G3uKQzFReOnbIAS1thWCg 1 0 0 0 226b 226b green open .kibana_task_manager_7.17.1_001 OSLFw2ALSgi4QKmU_ucjOA 1 0 17 891 249.2kb 249.2kb green open .kibana_7.17.1_001 rnb6SpMkQQmPFx1PI4t77Q 1 0 272 504 2.4mb 2.4mb # pokaż listę dokumentów w indeksie [root@vlsr01 ~]# curl localhost:9200/sshd_fail-2022.03/_search?pretty { "took" : 3, "timed_out" : false, "_shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 11, "relation" : "eq" }, "max_score" : 1.0, "hits" : [ { "_index" : "sshd_fail-2022.03", "_type" : "_doc", "_id" : "AFrRxn8Bv-wbtR34FgZf", "_score" : 1.0, "_source" : { "@timestamp" : "2022-03-26T15:21:05.464Z", "type" : "seucure_log", "host" : "vlsr01.zicher.lab", "path" : "/var/log/secure", "tags" : [ "_grokparsefailure" ], "@version" : "1", "message" : "Mar 26 16:21:04 vlsr01 sshd[2940]: Invalid user asdfasdf from 192.168.100.150 port 54912" } }, . . . . .
[4] Jeśli Kibana jest uruchomiona, aby dodać indeks w Kibanie, dane są do niej importowane i możliwe jest tworzenie wizualizacji według własnego uznania.