- ELK Logstash2023년 03월 23일 11시 20분 55초에 업로드 된 글입니다.작성자: 각수짱728x90반응형SMALL
로그스태시
방화벽 해제
systemctl stop firewalld.server systemctl disable firewalld.service setenforce 0레포지토리 추가
cat > /etc/yum.repos.d/elasticsearch.repo <<EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
설치
dnf -y install logstash
간단한 파이프라인 설정
vi /etc/logstash/conf.d/std.conf input { stdin { } } output { stdout { } }
실행
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/std.conf
확인
터미널에 프롬프트 안나오고 입력만 가능
ctrl + c
기존 설정 파일 삭제rm -rf /etc/logstash/conf.d/std.conf
권한 설정
chgrp logstash /var/log/secure
권한 설정
chmod 640 /var/log/secure
설정 파일 생성
vi /etc/logstash/conf.d/sshd.conf input { file { type => "seucure_log" path => "/var/log/secure" } } filter { grok { add_tag => [ "sshd_fail" ] match => { "message" => "Failed %{WORD:sshd_auth_type} for %{USERNAME:sshd_invalid_user} from %{IP:sshd_client_ip} port %{NUMBER:sshd_port} %{GREEDYDATA:sshd_protocol}" } } } output { elasticsearch { hosts => ["http://ElasticseacrhIP:9200"] index => "sshd_fail-%{+YYYY.MM}" } }
systemctl restart logstash
로그스태시 서버에 ssh 접속 후 일부러 로그인 실패해보기
포스트맨 환경변수설정
인덱스 상세 조회시 출력
데이터 출력
카바니에서도 Menu → Stack Management → Kibana → Index Patterns
index pattern생성후
Menu → Analytics → Discover 에서 확인 가능
728x90반응형LIST'웹 서비스 > ELK' 카테고리의 다른 글
ELK 스택 (0) 2023.03.23 ELK Elasticsearch 클러스터링 (0) 2023.03.22 ELK Kibana (0) 2023.03.22 ELK Metricbeat (0) 2023.03.22 ELK ES 기본 사용법 (Postman 사용) (0) 2023.03.22 이전글이 없습니다.댓글