Elastic Stack İle Merkezi Log Yönetimine Giriş – 6 (Logstash İle Beat Datalarını Okumak)

Merhabalar;

Bir önceki yazımızda 10.250.2.224 Windows Server 2019 üzerindeki eventlog’ları winlogbeat ile 10.250.2.222 ip adresli Ubuntu Server 2019 üzerinde çalışan logstash’in 5043 portuna yönlendirmiştim. Bu yazımda ise logstasth’in kendisine gönderilen dataları okuması ve elasticsearch’e göndermesi için gerekli konfigurasyonu yapacağım.

Hemen 10.250.2.222 üzerinde çalışan sunucumuza ssh ile bağlanalım ve /etc/logstash/conf.d/ dizinine geçelim ve burada beats.conf adında bir dosya create edelim ve konfigurasyonunu aşağıdaki şekilde yapalım.

root@logstash:~# cd /etc/logstash/conf.d/
root@logstash:/etc/logstash/conf.d# vim beat.conf

input {
beats {port => “5043”}
}
output {
elasticsearch {
hosts => [“10.250.2.221:9200”]
index => “%{[@metadata][beat]}-%{+YYYY.MM.dd}”
document_type => “%{[@metadata][type]”
}
}

Burada input bölümünde logstash’in beat’leri 5043 portundan dinlemesi gerektiğini belirtiyoruz. output bölümünde ise logların gönderileceği elasticsearh’ün ip ve port bilgisini giriyoruz, index parametresi ile elasticsearch’e gönderilen dataların metadatasına göre ve tarihe göre indeksleneceğini belirtiyoruz, document_type parametresi ile de elasticsearch e gönderilen doküman tipinin metadasına göre yapılacağını belirtiyoruz, ardından logstash servislerini restart ediyoruz.

root@logstash:/etc/logstash/conf.d# service logstash stop
root@logstash:/etc/logstash/conf.d# service logstash start

Artık elasticsearch’te winlogbeat’ten gelen datalar indekslenmeye başlayacaktır. 10.250.2.221 üzerinde çalışan elasticsearch’ e bağlanıp;

root@elastic:~# curl http://10.250.2.221:9200/_cat/indices

komutunu çalıştırdığımızda elasticsearch üzerindeki tüm indeksleri listelemiş olacağız ve burada winlogbeat-2020.04.22 indeksinin oluştuğunu göreceğiz.

10.250.2.223 üzerinde çalışan kibana servisine bağlanığımız zaman da bu oluşan indeks’in kibana tarafından görüldüğünü ve artık logları visualize etmek için hazır durumda olduğumuzu anlarız.

Bir sonraki yazımda kibana üzerine aldığım bu loglar için bir dashboard oluşturacağız…

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*