Instalando Logstash

En este post continuaremos com el despliegue de la solução, hoy veremos cómo dejar corretamente instalado Logstash; será la herramienta recoja LOGs y los trate antes de armazenarlos en Elasticsearch.

O Logstash encarrega-se de recolher, analisar e filtrar os logs para posteriormente lhes dar alguma saída e armazená-los em alguma BD. Trabalhamos com diferentes Inputs ou Tipos de Entrada, onde poderemos indicar o que vamos recolher, qualquer tipo de log, de sistema, de aplicações específicas, de seguida poderemos Filtrar por tipo de log, se apenas com erros… iremos tratá-los com base na nossa necessidade para finalmente, através de Outputs ou Tipos de Saída, armazená-los, no nosso caso no Elasticsearch. Portanto teremos 3 secções na configuração a ter em conta:

[Código-fonte]Entrada {
...
}[/Código-fonte]

De onde vem a informação? Poderemos usar ficheiros de texto, logs de aplicações ou serviços, bem como de qualquer aplicação Beat que utilizemos.

[Código-fonte]filtro {
...
}[/Código-fonte]

Descreve o que fará com cada entrada de dados, se a analisá-la ou modificá-la ou ignorar certos dados, por exemplo.

[Código-fonte]saída {
...
}[/Código-fonte]

Indica onde os dados filtrados serão redirecionados, no nosso caso, usaremos sempre o mesmo, Elasticsearch

Veremos numa série de documentos de exemplo como usar o Logstash para analisar logs de servidores Linux como um Apache, eventos do Visualizador de Eventos do Windows, logs de firewalls Fortigate… e como, com os filtros, leremos logs em ficheiros de texto plano e poderemos converter dados tão interessantes como endereços IP em dados de geolocalização, para obter a sua posição exata e visualizar os dados em mapas. Tudo isto sem esquecer que podemos ter visualização em tempo real ou consultar entre períodos de datas.

Instalar Logstash,

Tal como qualquer ferramenta do Stack, precisará da Máquina Virtual Java, así que instalamos OpenJDK y verificamos que tenemos la instalación OK. A propósito, si lo estamos instalando en la mesma máquina que Elasticsearch ya tendremos este requisito cumplido:

[Código-fonte]apt-get install openjdk-8-jre-headless
java -version[/Código-fonte]

Para instalar, primero nos descargamos e añadimos la clave pública de Elastic, y añadimos el repository, actualizamos la lista de pacotes y procedemos a instalar Logstash:

[Código-fonte]wget -qO - https (em inglês)://artifacts.elastic.co/GPG-KEY-elasticsearch | Sudo apt-key add -
ECO &Quot;Deb https://artifacts.elastic.co/packages/6.x/apt stable main&Quot; | tee -a /etc/apt/sources.list.d/elastic-6.x.list
apt-get update
apt-get install logstash[/Código-fonte]

Para verificar que la instalación ha sido correcta, antes de iniciar el serviço podremos executar el binário y mandarle informação de exemplo para verificar la instalación además que el acceso a Elasticsearch es correcto. Com esta configuração básica iremos validá-lo:

[Código-fonte]cd /usr/share/logstash
bin/logstash -e 'input' { stdin { } } saída { ElasticSearch { hosts=≫ [&Quot;Direccion_IP_Elasticsearch:9200&Quot;] } }'[/Código-fonte]

Sairão algumas mensagens e em seguida poderemos colocar um texto de exemplo e clicar em [Entrar], ej:

[Código-fonte]Olá! isto é um teste![/Código-fonte]

Descarregamos o Postman (ferramenta de diagnóstico HTTP) a partir do nosso computador, e fazemos um GET para obter todos os documentos que encontrar no índice:

[Código-fonte]Referências HTTP://Endereço_IP_Elasticsearch:9200/logstash-*/_search[/Código-fonte]

Clicamos em SEND e vemos o resultado! Há conexão entre eles! 🙂

[Código-fonte]Ctr+C[/Código-fonte]

Já poderemos levantar o serviço do Logstash e habilitá-lo para iniciar automaticamente com a máquina!

[Código-fonte]systemctl enable logstash
service logstash start[/Código-fonte]

Criando o índice no Kibana e visualizando os dados,

No próximo post veremos a instalação do Kibana, uma vez que o tenhamos instalado, podremos crear el patrón de los índices de Logstash y visualizar los datos.

En Kibana, desde “Gestão” > “Padrões de índice” > “Criar padrão de índice”, en el patrón especificamos ‘logstash-*’, y continuamos con el asistente.

Seleccionamos el campo @timestamp como para el filtro con tiempos, “Criar padrão de índice”,

Ya tenemos creado el patrón del índice, podremos ver sus campos y su tipo 🙂

Agora, no queda más que ir a “Descobrir”, seleccionar nuestro índice y jugando ya con las fechas podremos visualizar toda la información que tenemos almacenada! Si todo ha ido bien tendremos un sólo registro con el ejemplo que hicimos antes!!

Postagens recomendadas

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Instalando Elasticsearch

6 de março de 2019