Elastic Stack İle Merkezi Log Yönetimine Giriş – 7 (Kibana Dashboard Winlogbeat)

Merhabalar;

Bir önceki yazılarımda 10.250.2.224 Windows Sunucusu üzerindeki eventlog’ları winlogbeat ile 10.250.2.222 üzerinde çalışan logstash’e göndermiş, logstash üzerinden de konfigurasyonumuzu yaparak data’ları elasticsearch’e aktarıp burada oluşan indexleri kibana üzerinde görmüştük. Bu işlemle aynı şekilde ben daha sonra 10.250.2.225 ve 226 Windows Server 2019 üzerindeki eventlogları logstash’e gönderimini sağladım.

Bu yazımda ise kibana üzerinde, Windows event log countlarına göre, bir de Windows log on eventlerine göre iki ayrı dashoard oluşturacağız.

Bunun için öncelikle yeni bir index pattern oluşturalım. Bunun için Managment > Kibana > Index Pattern > Create index şeklinde ilerleyelim.

Index pattern’imizi winlogbeat-* şeklinde tanımlayalım ve next step ile ilerleyelim.

Timestamp’i de seçip create index pattern ile index pattern’imizi oluşturalım.

Artık discover’da sunuculara ait event logları görebiliriz.

Windows Event Count’a Göre Dashboad oluşturma

Bunun için Visualize > Create New Visualize’den Line chart’ı seçelim.

Buradan winlogbeat-* index’ini seçelim.

Artık line chart’ımızı X eksininideki ve Y eksenindeki alanları doldurmamız yeterlidir. Y eksinimiz burada Count olacak ve X ekseninde zamanı seçiyoruz.

Host başına oluşan eventleri göstemek istediğim için aşağıya doğru inip, split chat seçeneğinden hostname term’ine göre bu grafiği düzenlemesi gerektiğini belirtiyorum.

Aşağıdaki gibi bir görünüm elde ettik.

Bu oluşturduğumuz visualize’ı dashboardda kullanmak üzere isim verip save ediyoruz.

Artık yapmamız gereken çok basit. Dashboad kısmına gelip Create new dashboard u seçiyoruz.

Add kısmında Windows Events’i seçiyoruz.

 

 

 

Dashboardumuzuda artık istediğimiz durumu elde etmiş olduk, oluşturduğumuz bu dashdoard’u save’liyip isim vermemiz yeterlidir.

Log On Event Dashboard’u Oluşturma

Kibana discover kısmına geldiğimizde , message: “An account was successfully logged on” şeklinde bir arama yaptığımızda bize sunuculardaki log on eventleri karşımıza çıkacak. Bu aramayı visualize etmek için save ediyoruz.

Kaydettiğimiz aramanın ismi Log On Event olsun.

Visualize kısmından New Visualize deyip, Vertical Visualize kısmına gelip , bu kaydettiğiniz arama kriterini görebiliriz. Log On Event’i seçiyoruz.

Y eksininde yine count olacak, X ekseninde ise zaman olacak, sub bucket ta ise hostname alanı olacak şekilde visualize’i çalıştırıp kaydediyoruz.

Visualize’i Log On Events isminde kaydedilim.

 

Artık Dashboard > Create New Dashboard deyip, oluşturduğumuzu Log On Events’i ve daha önce oluşturduğumuzu Windows Events visualize’larnı seçelim, dashboarda isim verelim ve save edelim.

Başarılı bir şekilde windows event count’larına göre ve log on eventlerine göre dashboard’larımızı oluşturduk. Tabi bu oluşturduğumuz log’lar winlog beat ile windows event loglarını toplayarak oluşturduk. Sunucuların CPU , RAM ve disk kullanım grafiklerini elde etmek de istiyoruz, bunun için sunucularımıza metric beat kurulumu yapmamız gerekecek. Bir sonraki yazımda ise bu işlemi yapıyor olacağım….

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*