Tag: Logstash

filebeat ssl 加密传输日志到 logstash 配置

背景 如果服务器位于世界各地,但又需要通过filebeat传输日志到logstash分析,这时候为了保证数据的安全,在传输的时候使用加密是基本的要求。 一、创建自签名证书 生成ca密钥# openssl genrsa 2048 > ca.key使用ca私钥建立ca证书# openssl req -new -x509 -nodes -days 3650 -key ca.key -out ca.crt生成服务器csr证书请求文件# openssl req -newkey rsa:2048 -d…

阅读全文 »

logstash无法监听514端口的原因

Linux默认端口在1024下的程序是要在root下才能使用的,所以logstash直接监听514需要用root用户启动 1. 修改logstash启动参数 vim /etc/logstash/startup.options LS_USER=root LS_GROUP=root 2. 设置自动启动服务 /usr/share/logstash/bin/system-install /etc/logstash/startup.options systemd 3. 重启logstash systemc…

阅读全文 »

ELK 7.4.2 配置x-pack开启用户认证

X-Pack是一个Elastic Stack的扩展,将安全,警报,监视,报告和图形功能包含在一个易于安装的软件包中。ELK 6.8 以上版本已经全面集成x-pack不需要单独安装,其中最关键的一点是ES和Kibana的安全认证功能可以直接使用了,下面是开启配置步骤 Elasticsearch开启安全认证 编辑elasticsearch.yml配置文件增加如下配置即可 xpack.security.enabled: true xpack.license.self_generated.type: b…

阅读全文 »

CentOS 7 安装 ELK 7.4.2

日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解决问题。分析日志可以更清楚的了解服务器的状态和系统安全状况,从而可以维护服务器稳定运行。 ​ 但是日志通常都是存储在各自的服务器中。如果管理数十台服务器, 查阅日志需要依次登陆不同的服务器,查看过程就会很繁琐从而导致工作效率低下。虽然可以使用 rsyslog 服务将日志汇总。但是统计一些日志中的数据或者检索也是很麻烦的,一般使用grep、awk、wc、sor…

阅读全文 »

Naxsi 日志输出到ELK

https://github.com/nbs-system/naxsi/wiki/naxsilogs 将naxsi产生的日志收集到elk里面方便分析统计。 在logstash里面新建文件夹,写好正则过滤: logstash> mkdir pattern logstash> cd pattern logstash> vim naxsi DA1 \d{4}/\d{2}/\d{2} TM1 \d{2}:\d{2}:\d{2} LEVEL (\w+) NUM1 \d+(?:#0: \*…

阅读全文 »