Gebruikershulpmiddelen

Site-hulpmiddelen

Spoor: fedora-coreos spacewalk_connecting_clients ubuntu_14.04 kvm_op_centos7 herstart_filebeat_vanaf_eerdere_dag spacewalk davical dokuwiki centos7 debian8
werkinstructies:centrale_log_monitoring_met_filebeat_en_elk

Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

Link naar deze vergelijking

Beide kanten vorige revisie Vorige revisie
Volgende revisie 		Vorige revisie
werkinstructies:centrale_log_monitoring_met_filebeat_en_elk [2016/09/09 21:36]
abel [Logstash configureren voor filebeat input] 		werkinstructies:centrale_log_monitoring_met_filebeat_en_elk [2017/03/21 10:15] (huidige)
abel [Centrale log monitoring met Filebeat en ELK]
Regel 1: Regel 1:
 ====== Centrale log monitoring met Filebeat en ELK ====== ====== Centrale log monitoring met Filebeat en ELK ======
  
-Logstach kan op zich best als syslog server luisteren, maar logfiles van andere applicaties hebben vaak geen mechanisme om automatisch naar een logserver te sturen. Daarom gebruiken we filebeat om de files te versturen.+Logstash kan op zich best als syslog server luisteren, maar logfiles van andere applicaties hebben vaak geen mechanisme om automatisch naar een logserver te sturen. Daarom gebruiken we filebeat om de files te versturen.
  
 Begin met het installeren van de ELK stack door [[installatie_handleidingen:elasticsearch|Elasticsearch]] en vervolgens [[installatie_handleidingen:logstash|Logstash]] en [[installatie_handleidingen:kibana|Kibana]] te installeren. Begin met het installeren van de ELK stack door [[installatie_handleidingen:elasticsearch|Elasticsearch]] en vervolgens [[installatie_handleidingen:logstash|Logstash]] en [[installatie_handleidingen:kibana|Kibana]] te installeren.
  
-===== Logstash configureren voor filebeat input =====+===== Logstash configureren voor filebeat ===== 
 + 
 +Logstash configuraties bestaan uit een input, een eventueel filter en een output. 
 + 
 +==== input config ====
  
 Aangezien sommige servers alleen over het internet te benaderen zijn zullen we uit sequrity overwegingen, de verbindingen van filebeat over SSL laten lopen. Aangezien sommige servers alleen over het internet te benaderen zijn zullen we uit sequrity overwegingen, de verbindingen van filebeat over SSL laten lopen.
Regel 36: Regel 40:
 En zorg dat de firewall open staat: En zorg dat de firewall open staat:
  
-''firewall-cmd %%--permanent --%%add-port=5400/tcp\\+''firewall-cmd %%--permanent --%%add-port=5044/tcp\\
 firewall-cmd %%--%%reload'' firewall-cmd %%--%%reload''
  
-Vervolgens stellen we een filter in voor syslog entries. Andere logfile formats hebben vaak andere formats en zullen een eigen filter moeten krijgen.+ 
 +==== filter config ==== 
 +Vervolgens stellen we een filter in voor syslog entries. Logfiles van andere applicaties hebben vaak andere formats en zullen een eigen filter moeten krijgen.
  
 ''vi /etc/logstash/conf.d/10-filter-syslog.conf'' ''vi /etc/logstash/conf.d/10-filter-syslog.conf''
Regel 59: Regel 65:
 </code> </code>
  
 +
 +==== output config ====
 +
 +''vi /etc/logstash/conf.d/30-output-filebeat.conf''
 +
 +<code>
 +output {
 +  elasticsearch {
 +    hosts => ["localhost:9200"]
 +    sniffing => true
 +    manage_template => false
 +    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
 +    document_type => "%{[@metadata][type]}"
 +  }
 +}
 +</code>
  
 En herstart Logstash: ''systemctl restart logstash'' En herstart Logstash: ''systemctl restart logstash''
 +
 +===== Filebeat op de client =====
 +
 +==== installeer Filebeat ====
 +
 +Log in op de te monitoren machine.
 +
 +Breng het ca certificaat over naar de client en [[werkinstructies:ssl_tls#op_linux|voeg de CA toe aan de trusted root CA store]].
 +
 +zet het certificaat van de ELK server in ''/etc/pki/tls/certs/'' op de client.
 +
 +Haal de gpg key van elasticsearch op en voeg die toe aan de yum keychain: ''rpm %%--import http://%%packages.elastic.co/GPG-KEY-elasticsearch''
 +
 +voeg de repository toe aan yum: ''vi /etc/yum.repos.d/elastic-beats.repo''
 +
 +en zet daarin:
 +<code>
 +[beats]
 +name=Elastic Beats Repository
 +baseurl=https://packages.elastic.co/beats/yum/el/$basearch
 +enabled=1
 +gpgkey=https://packages.elastic.co/GPG-KEY-elasticsearch
 +gpgcheck=1
 +</code>
 +
 +en installeer : ''yum -y install filebeat''
 +
 +==== configureer Filebeat ====
 +
 +''vi /etc/filebeat/filebeat.yml''
 +
 +en zet hier de volgende opties:
 +<code>
 +
 +paths:
 +   - /var/log/secure
 +   - /var/log/messages
 +
 +document_type: syslog
 +
 +# The Logstash hosts
 +hosts: ["ELK_server_private_IP:5044"]
 +
 +bulk_max_size: 1024
 +
 +# Optional TLS. By default is off.
 +    tls:
 +      # List of root certificates for HTTPS server verifications
 +      certificate_authorities: ["/etc/pki/tls/certs/ca-bundle.crt"]
 +</code>
 +
 +===== grafieken en dashboards in Kibana =====
 +
 +<note important>Work in Progress</note>
 +
 +
 +
 +
 +
 +
 ===== Bronnen ===== ===== Bronnen =====
  
 [[https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-elk-stack-on-centos-7]] [[https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-elk-stack-on-centos-7]]
  
 +[[https://www.elastic.co/guide/en/elasticsearch/reference/2.3/indices-delete-index.html]]
werkinstructies/centrale_log_monitoring_met_filebeat_en_elk.1473449772.txt.gz · Laatst gewijzigd: 2016/09/09 21:36 door abel

Paginahulpmiddelen

Tenzij anders vermeld valt de inhoud van deze wiki onder de volgende licentie: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki