[4] Logstash – Instalacja

29 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Zainstaluj Logstash, który zbiera i zarządza różnymi dziennikami.

Aby zapoznać się z opisem Logstasha lub sposobem pisania pliku ustawień, odwiedź oficjalną stronę poniżej: -> https://www.elastic.co/guide/en/logstash/current/index.html.

[1] Zainstaluj Logstash. Skonfiguruj repozytorium dla Elasticsearch przed tym, jak tutaj.

[root@vlsr01 ~]# dnf install logstash

[2] Utwórz plik ustawień i uruchom Logstash.

Na przykład utwórz ustawienie, w którym Logstash zbiera dzienniki błędów sshd z [/var/log/secure] i wyprowadza do indeksu [sshd_fail-rrrr.mm] w elasticsearch.

[root@vlsr01 ~]# mcedit /etc/logstash/conf.d/sshd.conf
# stwórz nowy
input {
  file {
    type => "seucure_log"
    path => "/var/log/secure"
  }
}
filter {
  grok {
    add_tag => [ "sshd_fail" ]
    match => { "message" => "Failed %{WORD:sshd_auth_type} for %{USERNAME:sshd_invalid_user} from %{IP:sshd_client_ip} port %{NUMBER:sshd_port} %{GREEDYDATA:sshd_protocol}" }
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "sshd_fail-%{+YYYY.MM}"
  }
}

[root@vlsr01 ~]# chgrp logstash /var/log/secure
[root@vlsr01 ~]# chmod 640 /var/log/secure
[root@vlsr01 ~]# systemctl enable --now logstash

[3] Kilka minut później upewnij się, że dzienniki są zbierane normalnie.

# pokaż listę indeksu
[root@vlsr01 ~]# curl localhost:9200/_cat/indices?v
health status index                           uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .geoip_databases                3Blp2ITzT3OGMcKpXWQmvQ   1   0         44            0     41.5mb         41.5mb
green  open   .apm-custom-link                xQPmqjYQQNGk7jqY47y5lg   1   0          0            0       226b           226b
green  open   .apm-agent-configuration        5G3uKQzFReOnbIAS1thWCg   1   0          0            0       226b           226b
green  open   .kibana_task_manager_7.17.1_001 OSLFw2ALSgi4QKmU_ucjOA   1   0         17          891    249.2kb        249.2kb
green  open   .kibana_7.17.1_001              rnb6SpMkQQmPFx1PI4t77Q   1   0        272          504      2.4mb          2.4mb
# pokaż listę dokumentów w indeksie
[root@vlsr01 ~]# curl localhost:9200/sshd_fail-2022.03/_search?pretty
{
  "took" : 3,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 11,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "sshd_fail-2022.03",
        "_type" : "_doc",
        "_id" : "AFrRxn8Bv-wbtR34FgZf",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2022-03-26T15:21:05.464Z",
          "type" : "seucure_log",
          "host" : "vlsr01.zicher.lab",
          "path" : "/var/log/secure",
          "tags" : [
            "_grokparsefailure"
          ],
          "@version" : "1",
          "message" : "Mar 26 16:21:04 vlsr01 sshd[2940]: Invalid user asdfasdf from 192.168.100.150 port 54912"
        }
      },
. . . . .

[4] Jeśli Kibana jest uruchomiona, aby dodać indeks w Kibanie, dane są do niej importowane i możliwe jest tworzenie wizualizacji według własnego uznania.