Logstash instalatzen

Inprimatzeko Lagunkoa, PDF eta Email

Sarrera honetan soluzioaren hedapena jarraituko dugu, Gaur ikusiko dugu nola utzi Logstash zuzenean instalatuta; Tresna izango da LOG-ak biltzeko eta aurretik tratatu ahal izateko Elasticsearch-en gordetzea.

Logstash arduratzen da jasotzeaz, log-ak parseatu eta iragazteko, ondoren emaitza bat emateko eta datu-base batean gordetzeko. Sarrera edo Input desberdinekin lan egiten dugu, non adierazi ahal dugun zer bilduko dugun, edozein motatako log, sistemakoa, aplikazio espezifikoetakoak, gero log mota arabera iragazi dezakegu, akats soilik badira ere… gure beharraren arabera tratatuko ditugu eta azkenean Output edo Irteera Mota bat erabilita gordeko ditugu, gure kasuan Elasticsearch-en. Beraz izango dugu 3 kontuan hartu beharreko konfigurazioko ataletan:

[sourcecode]input {
...
}[/sourcecode]

Informazioa nondik datorren? Testu-fitxategiak erabil ditzakegu, aplikazio edo zerbitzuen logak, eta guk erabiltzen ditugun edozein Beat aplikaziorekin ere bai.

[sourcecode]iragazi {
...
}[/sourcecode]

Sartu ditugun datuekin zer egingo duen deskribatzen du, parseatu, aldatu edo datu batzuk ez ignoratzea, adibidez.

[sourcecode]irteera {
...
}[/sourcecode]

Iragazitako datuak non birbideratuko diren adierazten du, gure kasuan beti gauza bera erabiliko dugu, Elasticsearch

Adibide dokumentu sorta batean ikusiko dugu nola erabili Logstash zerbitzari Linuxeko logak parseatzeko, Apache bezalakoak, Windows Event Viewerreko ekintzak, Fortigate firewallen logak… eta nola iragazkiekin testu-plano fitxategietako logak irakurriko ditugun eta IP helbide bezalako datu interesgarriak geokokapen datu bihurtzeko aukera izango dugun, para obtener su posición exacta y visualizar los datos en mapas. Todo ello sin olvidar podemos tener visualización en tiempo real o consultar entre periodos de fechas.

Instalar Logstash,

Al igual que cualquier herramienta del Stack necesitará Java Virtual Machine, así que instalamos OpenJDK y verificamos que tenemos la instalación OK. Bestela, si lo estamos instalando en la misma máquina que Elasticsearch ya tendremos este requisito cumplido:

[sourcecode]apt-get install openjdk-8-jre-headless
java -version[/sourcecode]

Para instalar, primero nos descargamos e añadimos la clave pública de Elastic, y añadimos el repositorio, actualizamos la lista de paquetes y procedemos a instalar Logstash:

[sourcecode]wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list
apt-get update
apt-get install logstash[/sourcecode]

Para verify que la instalación ha sido correcta, antes de iniciar el servicio podremos ejecutar el binario y mandarle información de ejemplo para verify la instalación además que el acceso a Elasticsearch es correcto. Con esta config básica lo validaremos:

[sourcecode]cd /usr/share/logstash
bin/logstash -e 'input { stdin { } } irteera { elasticsearch { hosts => ["Direccion_IP_Elasticsearch:9200"] } }'[/sourcecode]

Saldrán unos mensajes y a continuación podremos poner un texto de ejemplo y darle al [Enter], ej:

[sourcecode]Hola! esto es una prueba![/sourcecode]

Descargamos Postman (herramienta de diagnóstico HTTP) desde nuestro equipo, y hacemos un GET para obtener todos los documentos que encuentre en el índice:

[sourcecode]http://Dirección_IP_Elasticsearch:9200/logstash-*/_search[/sourcecode]

Pulsamos SEND y vemos el resultado! Hay conexión entre ellos! 🙂

[sourcecode]Ctr+C[/sourcecode]

Ya podremos levantar el servicio de Logstash y habilitarlo para que se inicie de manera automática con la máquina!

[sourcecode]systemctl enable logstash
service logstash start[/sourcecode]

Creando el índice en Kibana y visualizando los datos,

En el siguiente post veremos la instalación de Kibana, una vez lo tengamos instalado, podremos crear el patrón de los índices de Logstash y visualizar los datos.

En Kibana, etik “Management” > “Index Patterns” > “Create index pattern”, en el patrón especificamos 'logstash-*', y continuamos con el asistente.

Seleccionamos el campo @timestamp como para el filtro con tiempos, “Create index pattern”,

Ya tenemos creado el patrón del índice, podremos ver sus campos y su tipo 🙂

orain, no queda más que ir a “Discover”, gure indizea hautatuz eta jada datak erabiliz jolasten, gordeta dugun informazio guztia ikus dezakegu! Dena ondo joan bada, aurrez egin genuen adibidearekin erregistro bakarra izango dugu!!

Izenburuko mezuak

Arauak eta alerta ElastAlert-rekin 2
Irakurri
Windows-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Ping-eko metrikak Prometheus eta Grafana-rekin
Irakurri
FortiGate-eko metrikak Prometheus eta Grafana-rekin
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Elasticsearch instalatzen

6 Martxoan 2019

Centreon-en Telegram notifikazioak aktibatzea

19 Martxoan 2019