Elastic Stack İle Merkezi Log Yönetimine Giriş -1

Merhabalar ,

Bu yazı dizimde ELK (Elaticsearch, Logstash, Kibana) ile temel olarak merkezi log yönetimine giriş yapacağım. ELK ve beat kurulumlarını hands on olarak yapacağım ve temel bir merkezi log yapısını aşağıdaki senaryoya göre nasıl yaparız , bunu adım adım oluşturacağım ve en sonunda da istediğimiz bir durum meydana geldiğine nasıl mail notifikasyonu yapacağımızı göstereceğim.

Şu şekilde bir isterimiz olsun:

Bir kurum içerinde 3 tane Microsoft Server 2019 Web Sunucu ve 1 tane Linux Ubuntu Server 2019.10 Sunucu olsun Windows sunucuların event loglarını, cpu ram disk kullanım oranlarını , windows sunucu üzerine gelen/giden icmp ve http paketleri ve IIS loglarını, Linux server üzerinden de syslog’ları merkezi bir yapıda izlemek istiyorum.

Windows sunuculardan;

  • Event Log’ları winlogbeat ile
  • CPU, RAM ve Disk kullanım loglarını metricbeat ile
  • Network Seviyesinde ICMP ve Http loglarını packetbet ile
  • Web Sunucu üzerinden IIS loglarını filebeat ile

Linux sunucu üzerinden ise syslog bilgilerini yine filebeat ile toplayacağız.

Son olarak da takip etmek istediğimiz bir durum meydana geldiğinde nasıl alert oluşturacağız bunları adım adım uygulayarak anlamaya çalışacağız.

Topolojimiz şu şekilde olacak:

  • 10.250.2.221 IP adresli Ubuntu 19.10 sunucusu üzerine Elasticsearch kuracağız.
  • 10.250.2.222 IP adresli Ubuntu 19.10 sunucusu üzerine Logstash kuracağız.
  • 10.250.2.223 IP adresli Ubuntu 19.10 sunucusu üzerine Kibana kuracağız.
  • 10.250.2.224 IP adresli Windows Server 2019 üzerine Web Sunucu 1
  • 10.250.2.225 IP adresli Windows Server 2019 üzerine Web Sunucu 2
  • 10.250.2.226 IP adresli Windows Server 2019 üzerine Web Sunucu 3
  • 10.250.2.227 IP adresli Linux Server 2019.10

Temel yapacağımız işler aşağıdaki gibi olacak;

Windows event’logları winlogbeat ile, windows sunucuların CPU,RAM ve Disk Loglarını Metricbeat ile, Network paket loglarını packetbeat ile (bununun için windows sunucuya önce winpcap yüklememiz gerekecek), IIS loglarını  filebeat ile, Linux server syslogları ise yine file beat ile Logstash’e aktaracağız.

Logstash üzerinden filtreleme ve data formatlarını düzenleyip elasticsearch’e aktaracağız. Elasticsearch üzerinde oluşan indis’leri ise Kibana ile görsellik kazandırarak  son kullanıcı tarafına bir web arayüzü sunacağız.

Bir sonraki yazımda 10.250.2.221 IP adresli Ubuntu Server 2019 üzerine elasticsearch kurulumu yaparak , yapımızı kurmaya adım adım başlayacğız.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*