标签:Logstash

logstash无法监听514端口的原因

Linux默认端口在1024下的程序是要在root下才能使用的,所以logstash直接监听514需要用root用户启动 1. 修改logstash启动参数 vim /etc/logstash/startup.options LS_USER=root LS_GROUP=root 2. 设置自动启动服务 /usr/share/logstash/bin/system-install /etc/logstash/startup.options systemd 3. 重启logstash systemc…

阅读全文 »

ELK 7.4.2 配置x-pack开启用户认证

X-Pack是一个Elastic Stack的扩展,将安全,警报,监视,报告和图形功能包含在一个易于安装的软件包中。ELK 6.8 以上版本已经全面集成x-pack不需要单独安装,其中最关键的一点是ES和Kibana的安全认证功能可以直接使用了,下面是开启配置步骤 Elasticsearch开启安全认证 编辑elasticsearch.yml配置文件增加如下配置即可 xpack.security.enabled: true xpack.license.self_generated.type: b…

阅读全文 »

CentOS 7 安装 ELK 7.4.2

日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解决问题。分析日志可以更清楚的了解服务器的状态和系统安全状况,从而可以维护服务器稳定运行。 ​ 但是日志通常都是存储在各自的服务器中。如果管理数十台服务器, 查阅日志需要依次登陆不同的服务器,查看过程就会很繁琐从而导致工作效率低下。虽然可以使用 rsyslog 服务将日志汇总。但是统计一些日志中的数据或者检索也是很麻烦的,一般使用grep、awk、wc、sor…

阅读全文 »

Naxsi 日志输出到ELK

https://github.com/nbs-system/naxsi/wiki/naxsilogs 将naxsi产生的日志收集到elk里面方便分析统计。 在logstash里面新建文件夹,写好正则过滤: logstash> mkdir pattern logstash> cd pattern logstash> vim naxsi DA1 \d{4}/\d{2}/\d{2} TM1 \d{2}:\d{2}:\d{2} LEVEL (\w+) NUM1 \d+(?:#0: \*…

阅读全文 »