● 기본 설정
2023.03.23 - [분류 전체보기] - [Logstash] 시작하기
[Logstash] 시작하기
◎ 가상머신 준비 ◎ CentOS 8 → Logstash : cpu 1 / mem 2 [ Logstash 설정 ] ● Repository 추가 cat > /etc/yum.repos.d/elasticsearch.repo
alsrudalsrudalsrud.tistory.com
● 기존 파일 삭제
rm -rf /etc/logstash/conf.d/std.conf
● 권한 변경
》 Logstash 에서 로그를 읽고 쓸 수 있도록 설정
chgrp logstash /var/log/secure
chmod 640 /var/log/secure
● /etc/logstash/conf.d/sshd.conf 파일 생성
》 input : 특정 파일 지정 (ex. 잘못된 로그인 접근 시 로그가 남는 파일 /var/log/secure)
》 filter : message 가 일치하는지 확인
》 output : elasticsearch 에게 인덱스를 만들어달라고 요청
input {
file {
type => "seucure_log"
path => "/var/log/secure"
}
}
filter {
grok {
add_tag => [ "sshd_fail" ]
match => { "message" => "Failed %{WORD:sshd_auth_type} for %{USERNAME:sshd_invalid_user} from %{IP:sshd_client_ip} port %{NUMBER:sshd_port} %{GREEDYDATA:sshd_protocol}" }
}
}
output {
elasticsearch {
hosts => ["http://[elasticsearch ip]:9200"]
index => "sshd_fail-%{+YYYY.MM}"
}
}
● 실행
systemctl restart logstash
● 확인
》 Logstash 서버에 ssh 접속 후 로그인 실패 해보기
① Postman에서 확인
② 웹에서 확인
》 http://[kibana ip]:5601 접속
》 좌측 상단 햄버거 버튼 클릭 》 Stack Management 》 Index Patterns 》 Create Index Pattern
》 좌측 상단 햄버거 버튼 클릭 》 Discover
'CLOUD > OpenSource' 카테고리의 다른 글
| [Elasticsearch] 검색하기 - standard, nori (0) | 2023.03.24 |
|---|---|
| [Kafka/Logstash] 메세지 전송 (0) | 2023.03.24 |
| [Logstash] 시작하기 (0) | 2023.03.23 |
| [Elasticsearch/Kibana] Elasticsearch Cluster 구성하기 (0) | 2023.03.22 |
| [Kibana] 시작하기 (0) | 2023.03.22 |