เชชเซเชฐเซ‹เชนเซ‹เชธเซเชŸเชฐ > ะ‘ะปะพะณ > เชตเชนเซ€เชตเชŸ > 2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เช›เซ‡เชฒเซเชฒเชพเชฎเชพเช‚ เชฒเซ‡เช– เช…เชฎเซ‡ เชฎเชณเซเชฏเชพ ELK เชธเซเชŸเซ‡เช•, เชคเซ‡เชฎเชพเช‚ เช•เชฏเชพ เชธเซ‹เชซเซเชŸเชตเซ‡เชฐ เช‰เชคเซเชชเชพเชฆเชจเซ‹เชจเซ‹ เชธเชฎเชพเชตเซ‡เชถ เชฅเชพเชฏ เช›เซ‡. เช…เชจเซ‡ ELK เชธเซเชŸเซ‡เช• เชธเชพเชฅเซ‡ เช•เชพเชฎ เช•เชฐเชคเซ€ เชตเช–เชคเซ‡ เชเชจเซเชœเชฟเชจเชฟเชฏเชฐ เชœเซ‡ เชชเซเชฐเชฅเชฎ เช•เชพเชฐเซเชฏเชจเซ‹ เชธเชพเชฎเชจเซ‹ เช•เชฐเซ‡ เช›เซ‡ เชคเซ‡ เช…เชจเซเช—เชพเชฎเซ€ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ เชฎเชพเชŸเซ‡ เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชถเซ‹เชงเชฎเชพเช‚ เชธเช‚เช—เซเชฐเชน เชฎเชพเชŸเซ‡ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเชตเชพเชจเซเช‚ เช›เซ‡. เชœเซ‹ เช•เซ‡, เช† เชฎเชพเชคเซเชฐ เชฒเชฟเชช เชธเชฐเซเชตเชฟเชธ เช›เซ‡, elasticsearch เช…เชฎเซเช• เชซเซ€เชฒเซเชกเซเชธ เช…เชจเซ‡ เชฎเซ‚เชฒเซเชฏเซ‹ เชธเชพเชฅเซ‡ เชฆเชธเซเชคเชพเชตเซ‡เชœเซ‹เชจเชพ เชฐเซ‚เชชเชฎเชพเช‚ เชฒเซ‹เช— เชธเซเชŸเซ‹เชฐ เช•เชฐเซ‡ เช›เซ‡, เชœเซ‡เชจเซ‹ เช…เชฐเซเชฅ เช›เซ‡ เช•เซ‡ เชเชจเซเชœเซ€เชจเชฟเชฏเชฐเซ‡ เชเชจเซเชก เชธเชฟเชธเซเชŸเชฎเซเชธเชฎเชพเช‚เชฅเซ€ เชฎเซ‹เช•เชฒเซ‡เชฒเชพ เชธเช‚เชฆเซ‡เชถเชจเซ‡ เชชเชพเชฐเซเชธ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชตเชฟเชตเชฟเชง เชธเชพเชงเชจเซ‹เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชตเซ‹ เช†เชตเชถเซเชฏเช• เช›เซ‡. เช† เช˜เชฃเซ€ เชฐเซ€เชคเซ‡ เช•เชฐเซ€ เชถเช•เชพเชฏ เช›เซ‡ - เชเช• เชชเซเชฐเซ‹เช—เซเชฐเชพเชฎ เชœเชพเชคเซ‡ เชฒเช–เซ‹ เชœเซ‡ API เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡ เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชฆเชธเซเชคเชพเชตเซ‡เชœเซ‹ เช‰เชฎเซ‡เชฐเชถเซ‡ เช…เชฅเชตเชพ เชคเซˆเชฏเชพเชฐ เช‰เช•เซ‡เชฒเซ‹เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชถเซ‡. เช† เช•เซ‹เชฐเซเชธเชฎเชพเช‚ เช†เชชเชฃเซ‡ เช‰เช•เซ‡เชฒ เชชเชฐ เชตเชฟเชšเชพเชฐ เช•เชฐเซ€เชถเซเช‚ เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ, เชœเซ‡ ELK เชธเซเชŸเซ‡เช•เชจเซ‹ เชญเชพเช— เช›เซ‡. เช…เชฎเซ‡ เชœเซ‹เชˆเชถเซเช‚ เช•เซ‡ เช…เชฎเซ‡ เชเชจเซเชกเชชเซ‹เช‡เชจเซเชŸ เชธเชฟเชธเซเชŸเชฎเซเชธเชฎเชพเช‚เชฅเซ€ เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ เชชเชฐ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเซ€ เชถเช•เซ€เช เช›เซ€เช, เช…เชจเซ‡ เชชเช›เซ€ เช…เชฎเซ‡ เช‡เชฒเชพเชธเซเชŸเชฟเช•เชธเชฐเซเชš เชกเซ‡เชŸเชพเชฌเซ‡เช เชชเชฐ เชชเชพเชฐเซเชธ เช…เชจเซ‡ เชฐเซ€เชกเชพเชฏเชฐเซ‡เช•เซเชŸ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡ เชเช• เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒ เชธเซ‡เชŸ เช•เชฐเซ€เชถเซเช‚. เช† เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เช…เชฎเซ‡ เช‡เชจเช•เชฎเชฟเช‚เช— เชธเชฟเชธเซเชŸเชฎ เชคเชฐเซ€เช•เซ‡ เชšเซ‡เช• เชชเซ‹เช‡เชจเซเชŸ เชซเชพเชฏเชฐเชตเซ‹เชฒเชฎเชพเช‚เชฅเซ€ เชฒเซ‹เช— เชฒเชˆเช เช›เซ€เช.

เช•เซ‹เชฐเซเชธเชฎเชพเช‚ ELK เชธเซเชŸเซ‡เช•เชจเชพ เช‡เชจเซเชธเซเชŸเซ‹เชฒเซ‡เชถเชจเชจเซ‡ เช†เชตเชฐเซ€ เชฒเซ‡เชตเชพเชฎเชพเช‚ เช†เชตเชคเซเช‚ เชจเชฅเซ€, เช•เชพเชฐเชฃ เช•เซ‡ เช† เชตเชฟเชทเชฏ เชชเชฐ เชฎเซ‹เชŸเซ€ เชธเช‚เช–เซเชฏเชพเชฎเชพเช‚ เชฒเซ‡เช–เซ‹ เช›เซ‡; เช…เชฎเซ‡ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เช˜เชŸเช•เชจเซ‡ เชงเซเชฏเชพเชจเชฎเชพเช‚ เชฒเชˆเชถเซเช‚.

เชšเชพเชฒเซ‹ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชฎเชพเชŸเซ‡ เชเช• เชเช•เซเชถเชจ เชชเซเชฒเชพเชจ เชฌเชจเชพเชตเซ€เช:

  1. เช‡เชฒเชพเชธเซเชŸเซ€เช• เชถเซ‹เชง เชฒเซ‹เช— เชธเซเชตเซ€เช•เชพเชฐเชถเซ‡ เชคเซ‡ เชคเชชเชพเชธเชตเซเช‚ (เชชเซ‹เชฐเซเชŸเชจเซ€ เช•เชพเชฐเซเชฏเช•เซเชทเชฎเชคเชพ เช…เชจเซ‡ เชจเชฟเช–เชพเชฒเชธเชคเชพ เชคเชชเชพเชธเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡).
  2. เช…เชฎเซ‡ เชงเซเชฏเชพเชจเชฎเชพเช‚ เชฒเชˆเช เช›เซ€เช เช•เซ‡ เช…เชฎเซ‡ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ Logstash เชชเชฐ เช‡เชตเซ‡เชจเซเชŸ เชฎเซ‹เช•เชฒเซ€ เชถเช•เซ€เช เช›เซ€เช, เชชเชฆเซเชงเชคเชฟ เชชเชธเช‚เชฆ เช•เชฐเซ€ เชถเช•เซ€เช เช›เซ€เช เช…เชจเซ‡ เชคเซ‡เชจเซ‡ เช…เชฎเชฒเชฎเชพเช‚ เชฎเซ‚เช•เซ€ เชถเช•เซ€เช เช›เซ€เช.
  3. เช…เชฎเซ‡ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชฎเชพเช‚ เช‡เชจเชชเซเชŸเชจเซ‡ เช—เซ‹เช เชตเซ€เช เช›เซ€เช.
  4. เชฒเซ‹เช— เชธเช‚เชฆเซ‡เชถ เช•เซ‡เชตเซ‹ เชฆเซ‡เช–เชพเชฏ เช›เซ‡ เชคเซ‡ เชธเชฎเชœเชตเชพ เชฎเชพเชŸเซ‡ เช…เชฎเซ‡ เชกเซ€เชฌเช— เชฎเซ‹เชกเชฎเชพเช‚ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชฎเชพเช‚ เช†เช‰เชŸเชชเซเชŸเชจเซ‡ เช—เซ‹เช เชตเซ€เช เช›เซ€เช.
  5. เชซเชฟเชฒเซเชŸเชฐ เชธเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡.
  6. เช‡เชฒเชพเชธเซเชŸเซ€เช• เชธเชฐเซเชšเชฎเชพเช‚ เชฏเซ‹เช—เซเชฏ เช†เช‰เชŸเชชเซเชŸ เชธเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡.
  7. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ เชฒเซ‹เชจเซเชš เชฅเชพเชฏ เช›เซ‡.
  8. เช•เชฟเชฌเชพเชจเชพเชฎเชพเช‚ เชฒเซ‰เช—เซเชธ เชคเชชเชพเชธเซ€ เชฐเชนเซเชฏเชพเช‚ เช›เซ€เช.

เชšเชพเชฒเซ‹ เชฆเชฐเซ‡เช• เชฎเซเชฆเซเชฆเชพเชจเซ‡ เชตเชงเซ เชตเชฟเช—เชคเชตเชพเชฐ เชœเซ‹เชˆเช:

เชšเช•เชพเชธเชตเซเช‚ เช•เซ‡ elasticsearch เชฒเซ‹เช— เชธเซเชตเซ€เช•เชพเชฐเชถเซ‡

เช† เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เชคเชฎเซ‡ เชœเซ‡ เชธเชฟเชธเซเชŸเชฎ เชชเชฐ Logstash เชœเชฎเชพเชตเซเชฏเซเช‚ เช›เซ‡ เชคเซ‡เชฎเชพเช‚เชฅเซ€ Elasticsearch เชจเซ€ เชเช•เซเชธเซ‡เชธ เชคเชชเชพเชธเชตเชพ เชฎเชพเชŸเซ‡ curl เช†เชฆเซ‡เชถเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€ เชถเช•เซ‹ เช›เซ‹. เชœเซ‹ เชคเชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ เชชเซเชฐเชฎเชพเชฃเซ€เช•เชฐเชฃ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เชนเซ‹เชฏ, เชคเซ‹ เช…เชฎเซ‡ เชตเชชเชฐเชพเชถเช•เชฐเซเชคเชพ/เชชเชพเชธเชตเชฐเซเชกเชจเซ‡ curl เชฆเซเชตเชพเชฐเชพ เชธเซเชฅเชพเชจเชพเช‚เชคเชฐเชฟเชค เช•เชฐเซ€เช เช›เซ€เช, เชœเซ‹ เชคเชฎเซ‡ เชคเซ‡เชจเซ‡ เชฌเชฆเชฒเซเชฏเซ‹ เชจ เชนเซ‹เชฏ เชคเซ‹ เชชเซ‹เชฐเซเชŸ 9200 เชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเซ€เชจเซ‡. เชœเซ‹ เชคเชฎเชจเซ‡ เชจเซ€เชšเซ‡ เช†เชชเซ‡เชฒเชพ เชœเซ‡เชตเซ‹ เชœ เชชเซเชฐเชคเชฟเชธเชพเชฆ เชฎเชณเซ‡, เชคเซ‹ เชฌเชงเซเช‚ เช•เซเชฐเชฎเชฎเชพเช‚ เช›เซ‡.

[elastic@elasticsearch ~]$ curl -u <<user_name>> : <<password>> -sS -XGET "<<ip_address_elasticsearch>>:9200"
{
  "name" : "elastic-1",
  "cluster_name" : "project",
  "cluster_uuid" : "sQzjTTuCR8q4ZO6DrEis0A",
  "version" : {
    "number" : "7.4.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "fc0eeb6e2c25915d63d871d344e3d0b45ea0ea1e",
    "build_date" : "2019-10-22T17:16:35.176724Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
[elastic@elasticsearch ~]$

เชœเซ‹ เชชเซเชฐเชคเชฟเชธเชพเชฆ เชชเซเชฐเชพเชชเซเชค เชฅเชฏเซ‹ เชจเชฅเซ€, เชคเซ‹ เชคเซเชฏเชพเช‚ เช˜เชฃเซ€ เชชเซเชฐเช•เชพเชฐเชจเซ€ เชญเซ‚เชฒเซ‹ เชนเซ‹เชˆ เชถเช•เซ‡ เช›เซ‡: เช‡เชฒเชพเชธเซเชŸเชฟเช•เชธเชฐเซเชš เชชเซเชฐเช•เซเชฐเชฟเชฏเชพ เชšเชพเชฒเซ€ เชฐเชนเซ€ เชจเชฅเซ€, เช–เซ‹เชŸเซ‹ เชชเซ‹เชฐเซเชŸ เช‰เชฒเซเชฒเซ‡เช–เชฟเชค เช›เซ‡, เช…เชฅเชตเชพ เชชเซ‹เชฐเซเชŸ เชœเซเชฏเชพเช‚ เช‡เชฒเชพเชธเซเชŸเชฟเช•เชธเชฐเซเชš เช‡เชจเซเชธเซเชŸเซ‹เชฒ เช•เชฐเซ‡เชฒ เช›เซ‡ เชคเซ‡ เชธเชฐเซเชตเชฐ เชชเชฐ เชซเชพเชฏเชฐเชตเซ‹เชฒ เชฆเซเชตเชพเชฐเชพ เช…เชตเชฐเซ‹เชงเชฟเชค เช›เซ‡.

เชšเชพเชฒเซ‹ เชœเซ‹เชˆเช เช•เซ‡ เชคเชฎเซ‡ เชšเซ‡เช• เชชเซ‹เชˆเชจเซเชŸ เชซเชพเชฏเชฐเชตเซ‹เชฒเชฅเซ€ เชฒเซ‹เช—เชธเซเชŸเซ‡เชถเชจเซ‡ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเซ€ เชถเช•เซ‹ เช›เซ‹

เชšเซ‡เช• เชชเซ‹เชˆเชจเซเชŸ เชฎเซ‡เชจเซ‡เชœเชฎเซ‡เชจเซเชŸ เชธเชฐเซเชตเชฐเชฅเซ€ เชคเชฎเซ‡ log_exporter เช‰เชชเชฏเซ‹เช—เชฟเชคเชพเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡ syslog เชฆเซเชตเชพเชฐเชพ Logstash เชจเซ‡ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเซ€ เชถเช•เซ‹ เช›เซ‹, เชคเชฎเซ‡ เชคเซ‡เชจเชพ เชตเชฟเชถเซ‡ เช…เชนเซ€เช‚ เชตเชงเซ เชตเชพเช‚เชšเซ€ เชถเช•เซ‹ เช›เซ‹ เชฒเซ‡เช–, เช…เชนเซ€เช‚ เช†เชชเชฃเซ‡ เชซเช•เซเชค เชคเซ‡ เช†เชฆเซ‡เชถ เช›เซ‹เชกเซ€เชถเซเช‚ เชœเซ‡ เชธเซเชŸเซเชฐเซ€เชฎ เชฌเชจเชพเชตเซ‡ เช›เซ‡:

cp_log_export เชจเชพเชฎ เช‰เชฎเซ‡เชฐเซ‹ check_point_syslog target-server < > เชฒเช•เซเชทเซเชฏ-เชชเซ‹เชฐเซเชŸ 5555 เชชเซเชฐเซ‹เชŸเซ‹เช•เซ‹เชฒ tcp เชซเซ‹เชฐเซเชฎเซ‡เชŸ เชธเชพเชฎเชพเชจเซเชฏ เชฐเซ€เชก-เชฎเซ‹เชก เช…เชฐเซเชง-เชฏเซเชจเชฟเชซเชพเช‡เชก

< > - เชธเชฐเซเชตเชฐเชจเซเช‚ เชธเชฐเชจเชพเชฎเซเช‚ เช•เซ‡ เชœเซ‡เชจเชพ เชชเชฐ Logstash เชšเชพเชฒเซ‡ เช›เซ‡, เชฒเช•เซเชทเซเชฏ-เชชเซ‹เชฐเซเชŸ 5555 - เชชเซ‹เชฐเซเชŸ เช•เซ‡ เชœเซ‡เชจเชพ เชชเชฐ เช…เชฎเซ‡ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเซ€เชถเซเช‚, tcp เชฆเซเชตเชพเชฐเชพ เชฒเซ‹เช— เชฎเซ‹เช•เชฒเชตเชพเชฅเซ€ เชธเชฐเซเชตเชฐ เชฒเซ‹เชก เชฅเชˆ เชถเช•เซ‡ เช›เซ‡, เชคเซ‡เชฅเซ€ เช•เซ‡เชŸเชฒเชพเช• เช•เชฟเชธเซเชธเชพเช“เชฎเชพเช‚ udp เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชตเซ‹ เชตเชงเซ เชฏเซ‹เช—เซเชฏ เช›เซ‡.

Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชฎเชพเช‚ INPUT เชธเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เชฎเซ‚เชณเชญเซ‚เชค เชฐเซ€เชคเซ‡, เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเชˆเชฒ /etc/logstash/conf.d/ เชกเชฟเชฐเซ‡เช•เซเชŸเชฐเซ€เชฎเชพเช‚ เชธเซเชฅเชฟเชค เช›เซ‡. เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชฎเชพเช‚ 3 เช…เชฐเซเชฅเชชเซ‚เชฐเซเชฃ เชญเชพเช—เซ‹เชจเซ‹ เชธเชฎเชพเชตเซ‡เชถ เชฅเชพเชฏ เช›เซ‡: INPUT, FILTER, OUTPUT. IN เช‡เชจเชชเซเชŸ เช…เชฎเซ‡ เชธเซ‚เชšเชตเซ€เช เช›เซ€เช เช•เซ‡ เชธเชฟเชธเซเชŸเชฎ เช•เซเชฏเชพเช‚เชฅเซ€ เชฒเซ‹เช— เชฒเซ‡เชถเซ‡ FILTER เชฒเซ‹เช—เชจเซ‡ เชชเชพเชฐเซเชธ เช•เชฐเซ‹ - เชธเช‚เชฆเซ‡เชถเชจเซ‡ เช•เซเชทเซ‡เชคเซเชฐเซ‹ เช…เชจเซ‡ เชฎเซ‚เชฒเซเชฏเซ‹เชฎเชพเช‚ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เชตเชฟเชญเชพเชœเซ€เชค เช•เชฐเชตเซ‹ เชคเซ‡ เชธเซ‡เชŸ เช•เชฐเซ‹, เชฎเชพเช‚ OUTPUT เช…เชฎเซ‡ เช†เช‰เชŸเชชเซเชŸ เชธเซเชŸเซเชฐเซ€เชฎเชจเซ‡ เช—เซ‹เช เชตเซ€เช เช›เซ€เช - เชœเซเชฏเชพเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฟเชค เชฒเซ‹เช— เชฎเซ‹เช•เชฒเชตเชพเชฎเชพเช‚ เช†เชตเชถเซ‡.

เชชเซเชฐเชฅเชฎ, เชšเชพเชฒเซ‹ INPUT เชจเซ‡ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เช•เชฐเซ€เช, เช•เซ‡เชŸเชฒเชพเช• เชชเซเชฐเช•เชพเชฐเซ‹ เชงเซเชฏเชพเชจเชฎเชพเช‚ เชฒเชˆเช เชœเซ‡ เชนเซ‹เชˆ เชถเช•เซ‡ - เชซเชพเช‡เชฒ, tcp เช…เชจเซ‡ exe.

Tcp:

input {
tcp {
    port => 5555
    host => โ€œ10.10.1.205โ€
    type => "checkpoint"
    mode => "server"
}
}

เชฎเซ‹เชก => "เชธเชฐเซเชตเชฐ"
เชธเซ‚เชšเชตเซ‡ เช›เซ‡ เช•เซ‡ Logstash เชœเซ‹เชกเชพเชฃเซ‹ เชธเซเชตเซ€เช•เชพเชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡.

เชชเซ‹เชฐเซเชŸ => 5555
เชนเซ‹เชธเซเชŸ => โ€œ10.10.1.205โ€
เช…เชฎเซ‡ IP เชเชกเซเชฐเซ‡เชธ 10.10.1.205 (Logstash), เชชเซ‹เชฐเซเชŸ 5555 เชฆเซเชตเชพเชฐเชพ เช•เชจเซ‡เช•เซเชถเชจ เชธเซเชตเซ€เช•เชพเชฐเซ€เช เช›เซ€เช - เชซเชพเชฏเชฐเชตเซ‹เชฒ เชจเซ€เชคเชฟ เชฆเซเชตเชพเชฐเชพ เชชเซ‹เชฐเซเชŸเชจเซ‡ เชฎเช‚เชœเซ‚เชฐเซ€ เชนเซ‹เชตเซ€ เช†เชตเชถเซเชฏเช• เช›เซ‡.

เชŸเชพเช‡เชช => "เชšเซ‡เช•เชชเซ‹เช‡เชจเซเชŸ"
เช…เชฎเซ‡ เชฆเชธเซเชคเชพเชตเซ‡เชœเชจเซ‡ เชšเชฟเชนเซเชจเชฟเชค เช•เชฐเซ€เช เช›เซ€เช, เชœเซ‹ เชคเชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ เช˜เชฃเชพ เช‡เชจเช•เชฎเชฟเช‚เช— เช•เชจเซ‡เช•เซเชถเชจ เชนเซ‹เชฏ เชคเซ‹ เชคเซ‡ เช–เซ‚เชฌ เช…เชจเซเช•เซ‚เชณ เช›เซ‡. เชคเซเชฏเชพเชฐเชฌเชพเชฆ, เชฆเชฐเซ‡เช• เช•เชจเซ‡เช•เซเชถเชจ เชฎเชพเชŸเซ‡ เชคเชฎเซ‡ เชฒเซ‹เชœเชฟเช•เชฒ เชœเซ‹ เช•เชจเซเชธเซเชŸเซเชฐเช•เซเชŸเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡ เชคเชฎเชพเชฐเซเช‚ เชชเซ‹เชคเชพเชจเซเช‚ เชซเชฟเชฒเซเชŸเชฐ เชฒเช–เซ€ เชถเช•เซ‹ เช›เซ‹.

เชซเชพเช‡เชฒ:

input {
  file {
    path => "/var/log/openvas_report/*"
    type => "openvas"
    start_position => "beginning"
    }
}

เชธเซ‡เชŸเชฟเช‚เช—เซเชธเชจเซเช‚ เชตเชฐเซเชฃเชจ:
เชชเชพเชฅ => "/var/log/openvas_report/*"
เช…เชฎเซ‡ เชกเชฟเชฐเซ‡เช•เซเชŸเชฐเซ€ เชธเซ‚เชšเชตเซ€เช เช›เซ€เช เชœเซ‡เชฎเชพเช‚ เชซเชพเช‡เชฒเซ‹เชจเซ‡ เชตเชพเช‚เชšเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡.

เชชเซเชฐเช•เชพเชฐ => "เช“เชชเชจเชตเชพเชธ"
เช‡เชตเซ‡เชจเซเชŸเชจเซ‹ เชชเซเชฐเช•เชพเชฐ.

start_position => "เชถเชฐเซ‚เช†เชค"
เชซเชพเช‡เชฒ เชฌเชฆเชฒเชคเซ€ เชตเช–เชคเซ‡, เชคเซ‡ เช†เช–เซ€ เชซเชพเช‡เชฒ เชตเชพเช‚เชšเซ‡ เช›เซ‡; เชœเซ‹ เชคเชฎเซ‡ "เช…เช‚เชค" เชธเซ‡เชŸ เช•เชฐเซ‹ เช›เซ‹, เชคเซ‹ เชธเชฟเชธเซเชŸเชฎ เชซเชพเช‡เชฒเชจเชพ เช…เช‚เชคเซ‡ เชจเชตเชพ เชฐเซ‡เช•เซ‹เชฐเซเชกเซเชธ เชฆเซ‡เช–เชพเชฏ เชคเซ‡เชจเซ€ เชฐเชพเชน เชœเซเช เช›เซ‡.

เช…เชฎเชฒ:

input {
  exec {
    command => "ls -alh"
    interval => 30
  }
}

เช† เช‡เชจเชชเซเชŸเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชจเซ‡, เชเช• (เชฎเชพเชคเซเชฐ!) เชถเซ‡เชฒ เช†เชฆเซ‡เชถ เชฒเซ‹เช‚เชš เชฅเชพเชฏ เช›เซ‡ เช…เชจเซ‡ เชคเซ‡เชจเซเช‚ เช†เช‰เชŸเชชเซเชŸ เชฒเซ‹เช— เชธเช‚เชฆเซ‡เชถเชฎเชพเช‚ เชซเซ‡เชฐเชตเชพเชฏ เช›เซ‡.

เช†เชฆเซ‡เชถ => "ls -alh"
เช†เชฆเซ‡เชถ เชœเซ‡เชจเชพ เช†เช‰เชŸเชชเซเชŸเชฎเชพเช‚ เช…เชฎเชจเซ‡ เชฐเชธ เช›เซ‡.

เช…เช‚เชคเชฐเชพเชฒ => 30
เชธเซ‡เช•เชจเซเชกเชฎเชพเช‚ เช†เชฆเซ‡เชถ เช†เชนเซเชตเชพเชจ เช…เช‚เชคเชฐเชพเชฒ.

เชซเชพเชฏเชฐเชตเซ‹เชฒเชฎเชพเช‚เชฅเซ€ เชฒเซ‹เช— เชฎเซ‡เชณเชตเชตเชพ เชฎเชพเชŸเซ‡, เช…เชฎเซ‡ เชซเชฟเชฒเซเชŸเชฐ เชฐเชœเซ€เชธเซเชŸเชฐ เช•เชฐเซ€เช เช›เซ€เช tcp เช…เชฅเชตเชพ udp, เชฒเซ‹เช—เซเชธ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ Logstash เชชเชฐ เชฎเซ‹เช•เชฒเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡ เชคเซ‡เชจเชพ เช†เชงเชพเชฐเซ‡.

เชฒเซ‹เช— เชฎเซ‡เชธเซ‡เชœ เช•เซ‡เชตเซ‹ เชฆเซ‡เช–เชพเชฏ เช›เซ‡ เชคเซ‡ เชธเชฎเชœเชตเชพ เชฎเชพเชŸเซ‡ เช…เชฎเซ‡ เชกเซ€เชฌเช— เชฎเซ‹เชกเชฎเชพเช‚ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชฎเชพเช‚ เช†เช‰เชŸเชชเซเชŸเชจเซ‡ เช—เซ‹เช เชตเซ€เช เช›เซ€เช

เช…เชฎเซ‡ INPUT เชจเซ‡ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เช•เชฐเซเชฏเชพ เชชเช›เซ€, เช…เชฎเชพเชฐเซ‡ เช เชธเชฎเชœเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡ เช•เซ‡ เชฒเซ‹เช— เชธเช‚เชฆเซ‡เชถ เช•เซ‡เชตเซ‹ เชฆเซ‡เช–เชพเชถเซ‡ เช…เชจเซ‡ เชฒเซ‹เช— เชซเชฟเชฒเซเชŸเชฐ (เชชเชพเชฐเซเชธเชฐ) เชจเซ‡ เช—เซ‹เช เชตเชตเชพ เชฎเชพเชŸเซ‡ เช•เชˆ เชชเชฆเซเชงเชคเชฟเช“เชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡.

เช† เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เช…เชฎเซ‡ เชเช• เชซเชฟเชฒเซเชŸเชฐเชจเซ‹ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€เชถเซเช‚ เชœเซ‡ เชฎเซ‚เชณ เชธเช‚เชฆเซ‡เชถเชจเซ‡ เชœเซ‹เชตเชพ เชฎเชพเชŸเซ‡ เชชเชฐเชฟเชฃเชพเชฎเชจเซ‡ stdout เชฎเชพเช‚ เช†เช‰เชŸเชชเซเชŸ เช•เชฐเซ‡ เช›เซ‡; เช…เชคเซเชฏเชพเชฐเซ‡ เชธเช‚เชชเซ‚เชฐเซเชฃ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒ เช†เชจเชพ เชœเซ‡เชตเซ€ เชฆเซ‡เช–เชพเชถเซ‡:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => โ€œ10.10.1.205โ€
   	 }
}

output 
{
	if [type] == "checkpoint" 
       {
		stdout { codec=> json }
	}
}

เชคเชชเชพเชธเชตเชพ เชฎเชพเชŸเซ‡ เช†เชฆเซ‡เชถ เชšเชฒเชพเชตเซ‹:
sudo /usr/share/logstash/bin//logstash -f /etc/logstash/conf.d/checkpoint.conf
เช…เชฎเซ‡ เชชเชฐเชฟเชฃเชพเชฎ เชœเซ‹เชˆเช เช›เซ€เช, เชšเชฟเชคเซเชฐ เช•เซเชฒเชฟเช• เช•เชฐเซ€ เชถเช•เชพเชฏ เชคเซ‡เชตเซเช‚ เช›เซ‡:

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เชœเซ‹ เชคเชฎเซ‡ เชคเซ‡เชจเซ€ เชจเช•เชฒ เช•เชฐเซ‹ เชคเซ‹ เชคเซ‡ เช†เชจเชพ เชœเซ‡เชตเซเช‚ เชฆเซ‡เช–เชพเชถเซ‡:

action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,0x5,0xfe0a0a0a,0xc0000000}" origin="10.10.10.254" originsicname="CN=ts-spb-cpgw-01,O=cp-spb-mgmt-01.tssolution.local.kncafb" sequencenum="8" time="1576766483" version="5" context_num="1" dst="10.10.10.10" dst_machine_name="[email protected]" layer_name="TSS-Standard Security" layer_name="TSS-Standard Application" layer_uuid="dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0" layer_uuid="dbee3718-cf2f-4de0-8681-529cb75be9a6" match_id="8" match_id="33554431" parent_rule="0" parent_rule="0" rule_action="Accept" rule_action="Accept" rule_name="Implicit Cleanup" rule_uid="6dc2396f-9644-4546-8f32-95d98a3344e6" product="VPN-1 & FireWall-1" proto="17" s_port="37317" service="53" service_id="domain-udp" src="10.10.1.180" ","type":"qqqqq","host":"10.10.10.250","@version":"1","port":50620}{"@timestamp":"2019-12-19T14:50:12.153Z","message":"time="1576766483" action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,

เช† เชธเช‚เชฆเซ‡เชถเชพเช“เชจเซ‡ เชœเซ‹เชคเชพ, เช…เชฎเซ‡ เชธเชฎเชœเซ€เช เช›เซ€เช เช•เซ‡ เชฒเซ‹เช— เช†เชจเชพ เชœเซ‡เชตเชพ เชฆเซ‡เช–เชพเชฏ เช›เซ‡: เช•เซเชทเซ‡เชคเซเชฐ = เชฎเซ‚เชฒเซเชฏ เช…เชฅเชตเชพ เช•เซ€ = เชฎเซ‚เชฒเซเชฏ, เชœเซ‡เชจเซ‹ เช…เชฐเซเชฅ เช›เซ‡ เช•เซ‡ kv เชจเชพเชฎเชจเซเช‚ เชซเชฟเชฒเซเชŸเชฐ เชฏเซ‹เช—เซเชฏ เช›เซ‡. เชฆเชฐเซ‡เช• เชšเซ‹เช•เซเช•เชธ เช•เซ‡เชธ เชฎเชพเชŸเซ‡ เชฏเซ‹เช—เซเชฏ เชซเชฟเชฒเซเชŸเชฐ เชชเชธเช‚เชฆ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เชคเช•เชจเซ€เช•เซ€ เชฆเชธเซเชคเชพเชตเซ‡เชœเซ‹เชฎเชพเช‚ เชคเซ‡เชฎเชจเซ€ เชธเชพเชฅเซ‡ เชชเซ‹เชคเชพเชจเซ‡ เชชเชฐเชฟเชšเชฟเชค เช•เชฐเชตเชพ เช…เชฅเชตเชพ เชฎเชฟเชคเซเชฐเชจเซ‡ เชชเซ‚เช›เชตเซเช‚ เช เชเช• เชธเชพเชฐเซ‹ เชตเชฟเชšเชพเชฐ เช›เซ‡.

เชซเชฟเชฒเซเชŸเชฐ เชธเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡

เช›เซ‡เชฒเซเชฒเชพ เชคเชฌเช•เซเช•เซ‡ เช…เชฎเซ‡ kv เชชเชธเช‚เชฆ เช•เชฐเซเชฏเซเช‚ เช›เซ‡, เช† เชซเชฟเชฒเซเชŸเชฐเชจเซเช‚ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชจเซ€เชšเซ‡ เชชเซเชฐเชธเซเชคเซเชค เช›เซ‡:

filter {
if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
}
}

เช…เชฎเซ‡ เชชเซเชฐเชคเซ€เช• เชชเชธเช‚เชฆ เช•เชฐเซ€เช เช›เซ€เช เชœเซ‡เชจเชพ เชฆเซเชตเชพเชฐเชพ เช†เชชเชฃเซ‡ เช•เซเชทเซ‡เชคเซเชฐ เช…เชจเซ‡ เชฎเซ‚เชฒเซเชฏ - โ€œ=โ€ เชจเซ‡ เชตเชฟเชญเชพเชœเซ€เชค เช•เชฐเซ€เชถเซเช‚. เชœเซ‹ เช…เชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ เชฒเซ‹เช—เชฎเชพเช‚ เชธเชฎเชพเชจ เชเชจเซเชŸเซเชฐเซ€เช“ เชนเซ‹เชฏ, เชคเซ‹ เช…เชฎเซ‡ เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชฎเชพเชคเซเชฐ เชเช• เชœ เชฆเชพเช–เชฒเซ‹ เชธเชพเชšเชตเซ€เช เช›เซ€เช, เช…เชจเซเชฏเชฅเชพ เชคเชฎเซ‡ เชธเชฎเชพเชจ เชฎเซ‚เชฒเซเชฏเซ‹เชจเซ€ เชถเซเชฐเซ‡เชฃเซ€ เชธเชพเชฅเซ‡ เชธเชฎเชพเชชเซเชค เชฅเชถเซ‹, เชเชŸเชฒเซ‡ เช•เซ‡, เชœเซ‹ เช…เชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ "foo = some foo=some" เชธเช‚เชฆเซ‡เชถ เชนเซ‹เชฏ เชคเซ‹ เช…เชฎเซ‡ เชซเช•เซเชค foo เชฒเช–เซ€เช เช›เซ€เช. = เช…เชฎเซเช•.

เช‡เชฒเชพเชธเซเชŸเซ€เช• เชธเชฐเซเชšเชฎเชพเช‚ เชฏเซ‹เช—เซเชฏ เช†เช‰เชŸเชชเซเชŸ เชธเซ‡เชŸ เช•เชฐเซ€ เชฐเชนเซเชฏเซเช‚ เช›เซ‡

เชเช•เชตเชพเชฐ เชซเชฟเชฒเซเชŸเชฐ เช—เซ‹เช เชตเชพเชˆ เชœเชพเชฏ, เชชเช›เซ€ เชคเชฎเซ‡ เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชฒเซ‹เช— เช…เชชเชฒเซ‹เชก เช•เชฐเซ€ เชถเช•เซ‹ เช›เซ‹ เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช•:

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

เชœเซ‹ เชฆเชธเซเชคเชพเชตเซ‡เชœ เชšเซ‡เช•เชชเซ‹เช‡เชจเซเชŸ เชชเซเชฐเช•เชพเชฐ เชธเชพเชฅเซ‡ เชธเชนเซ€ เช•เชฐเซ‡เชฒ เชนเซ‹เชฏ, เชคเซ‹ เช…เชฎเซ‡ เช‡เชตเซ‡เชจเซเชŸเชจเซ‡ elasticsearch เชกเซ‡เชŸเชพเชฌเซ‡เชเชฎเชพเช‚ เชธเชพเชšเชตเซ€เช เช›เซ€เช, เชœเซ‡ เชกเชฟเชซเซ‹เชฒเซเชŸ เชฐเซ‚เชชเซ‡ เชชเซ‹เชฐเซเชŸ 10.10.1.200 เชชเชฐ 9200 เชจเชพ เชฐเซ‹เชœ เชœเซ‹เชกเชพเชฃเซ‹ เชธเซเชตเซ€เช•เชพเชฐเซ‡ เช›เซ‡. เชฆเชฐเซ‡เช• เชฆเชธเซเชคเชพเชตเซ‡เชœ เชšเซ‹เช•เซเช•เชธ เช…เชจเซเช•เซเชฐเชฎเชฃเชฟเช•เชพเชฎเชพเช‚ เชธเชพเชšเชตเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡, เช† เช•เชฟเชธเซเชธเชพเชฎเชพเช‚ เช†เชชเชฃเซ‡ เช‡เชจเซเชกเซ‡เช•เซเชธ โ€œเชšเซ‡เช•เชชเซ‹เช‡เชจเซเชŸ-โ€ + เชตเชฐเซเชคเชฎเชพเชจ เชธเชฎเชฏ เชคเชพเชฐเซ€เช–เชฎเชพเช‚ เชธเชพเชšเชตเซ€เช เช›เซ€เช. เชฆเชฐเซ‡เช• เช‡เชจเซเชกเซ‡เช•เซเชธเชฎเชพเช‚ เชซเซ€เชฒเซเชกเชจเซ‹ เชšเซ‹เช•เซเช•เชธ เชธเซ‡เชŸ เชนเซ‹เชˆ เชถเช•เซ‡ เช›เซ‡, เช…เชฅเชตเชพ เชœเซเชฏเชพเชฐเซ‡ เชธเช‚เชฆเซ‡เชถเชฎเชพเช‚ เชจเชตเซเช‚ เชซเซ€เชฒเซเชก เชฆเซ‡เช–เชพเชฏ เช›เซ‡ เชคเซเชฏเชพเชฐเซ‡ เชคเซ‡ เช†เชชเชฎเซ‡เชณเซ‡ เชฌเชจเชพเชตเชตเชพเชฎเชพเช‚ เช†เชตเซ‡ เช›เซ‡; เชซเซ€เชฒเซเชก เชธเซ‡เชŸเชฟเช‚เช—เซเชธ เช…เชจเซ‡ เชคเซ‡เชจเซ‹ เชชเซเชฐเช•เชพเชฐ เชฎเซ‡เชชเชฟเช‚เช—เชฎเชพเช‚ เชœเซ‹เชˆ เชถเช•เชพเชฏ เช›เซ‡.

เชœเซ‹ เชคเชฎเชพเชฐเซ€ เชชเชพเชธเซ‡ เชชเซเชฐเชฎเชพเชฃเซ€เช•เชฐเชฃ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชฟเชค เช›เซ‡ (เช…เชฎเซ‡ เชคเซ‡เชจเซ‡ เชชเช›เซ€เชฅเซ€ เชœเซ‹เชˆเชถเซเช‚), เชคเซ‹ เชšเซ‹เช•เซเช•เชธ เช…เชจเซเช•เซเชฐเชฎเชฃเชฟเช•เชพ เชชเชฐ เชฒเช–เชตเชพ เชฎเชพเชŸเซ‡เชจเชพ เช“เชณเช–เชชเชคเซเชฐเซ‹เชจเซ‹ เช‰เชฒเซเชฒเซ‡เช– เช•เชฐเชตเซ‹ เช†เชตเชถเซเชฏเช• เช›เซ‡, เช† เช‰เชฆเชพเชนเชฐเชฃเชฎเชพเช‚ เชคเซ‡ เชชเชพเชธเชตเชฐเซเชก "เช•เซ‚เชฒ" เชธเชพเชฅเซ‡ "tssolution" เช›เซ‡. เชคเชฎเซ‡ เชซเช•เซเชค เชšเซ‹เช•เซเช•เชธ เช…เชจเซเช•เซเชฐเชฎเชฃเชฟเช•เชพ เชชเชฐ เชฒเซ‰เช—เซเชธ เชฒเช–เชตเชพเชจเชพ เชตเชชเชฐเชพเชถเช•เชฐเซเชคเชพ เช…เชงเชฟเช•เชพเชฐเซ‹เชจเซ‡ เช…เชฒเช— เช•เชฐเซ€ เชถเช•เซ‹ เช›เซ‹ เช…เชจเซ‡ เชตเชงเซ เชจเชนเซ€เช‚.

เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ เชฒเซ‹เช‚เชš เช•เชฐเซ‹.

เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒ:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => โ€œ10.10.1.205โ€
   	 }
}

filter {
        if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
        }
}

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

เช…เชฎเซ‡ เชšเซ‹เช•เชธเชพเชˆ เชฎเชพเชŸเซ‡ เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒ เชคเชชเชพเชธเซ€เช เช›เซ€เช:
/usr/share/logstash/bin//logstash -f checkpoint.conf
2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพ เชถเชฐเซ‚ เช•เชฐเซ‹:
sudo systemctl เชฒเซ‹เช—เชธเซเชŸเชถ เชถเชฐเซ‚ เช•เชฐเซ‹

เช…เชฎเซ‡ เชคเชชเชพเชธเซ€เช เช›เซ€เช เช•เซ‡ เชชเซเชฐเช•เซเชฐเชฟเชฏเชพ เชถเชฐเซ‚ เชฅเชˆ เช›เซ‡:
sudo systemctl เชธเซเชฅเชฟเชคเชฟ เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เชšเชพเชฒเซ‹ เชคเชชเชพเชธ เช•เชฐเซ€เช เช•เซ‡ เชธเซ‹เช•เซ‡เชŸ เช‰เชชเชฐ เช›เซ‡ เช•เซ‡ เชจเชนเซ€เช‚:
netstat -nat |grep 5555

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เช•เชฟเชฌเชพเชจเชพเชฎเชพเช‚ เชฒเซ‰เช—เซเชธ เชคเชชเชพเชธเซ€ เชฐเชนเซเชฏเชพเช‚ เช›เซ€เช.

เชฌเชงเซเช‚ เชšเชพเชฒเซ‡ เชคเซ‡ เชชเช›เซ€, เช•เชฟเชฌเชพเชจเชพ เชชเชฐ เชœเชพเช“ - เชถเซ‹เชงเซ‹, เช–เชพเชคเชฐเซ€ เช•เชฐเซ‹ เช•เซ‡ เชฌเชงเซเช‚ เชฏเซ‹เช—เซเชฏ เชฐเซ€เชคเซ‡ เช—เซ‹เช เชตเซ‡เชฒเซเช‚ เช›เซ‡, เชšเชฟเชคเซเชฐ เช•เซเชฒเชฟเช• เช•เชฐเซ€ เชถเช•เชพเชฏ เชคเซ‡เชตเซเช‚ เช›เซ‡!

2. เชธเซเชฅเชฟเชคเชฟเชธเซเชฅเชพเชชเช• เชธเซเชŸเซ‡เช•: เชธเซเชฐเช•เซเชทเชพ เชฒเซ‹เช—เชจเซเช‚ เชตเชฟเชถเซเชฒเซ‡เชทเชฃ. เชฒเซ‹เช—เชธเซเชŸเซ‡เชถ

เชฌเชงเชพ เชฒเซ‹เช— เชธเซเชฅเชพเชจเซ‡ เช›เซ‡ เช…เชจเซ‡ เช†เชชเชฃเซ‡ เชฌเชงเชพ เช•เซเชทเซ‡เชคเซเชฐเซ‹ เช…เชจเซ‡ เชคเซ‡เชฎเชจเชพ เชฎเซ‚เชฒเซเชฏเซ‹ เชœเซ‹เชˆ เชถเช•เซ€เช เช›เซ€เช!

เชจเชฟเชทเซเช•เชฐเซเชท

เช…เชฎเซ‡ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒ เช•เซ‡เชตเซ€ เชฐเซ€เชคเซ‡ เชฒเช–เชตเซ€ เชคเซ‡ เชœเซ‹เชฏเซเช‚, เช…เชจเซ‡ เชชเชฐเชฟเชฃเชพเชฎเซ‡ เช…เชฎเชจเซ‡ เชคเชฎเชพเชฎ เช•เซเชทเซ‡เชคเซเชฐเซ‹ เช…เชจเซ‡ เชฎเซ‚เชฒเซเชฏเซ‹เชจเซเช‚ เชชเชพเชฐเซเชธเชฐ เชฎเชณเซเชฏเซเช‚. เชนเชตเซ‡ เช†เชชเชฃเซ‡ เชšเซ‹เช•เซเช•เชธ เช•เซเชทเซ‡เชคเซเชฐเซ‹ เชฎเชพเชŸเซ‡ เชถเซ‹เชง เช…เชจเซ‡ เชชเซเชฒเซ‹เชŸเชฟเช‚เช— เชธเชพเชฅเซ‡ เช•เชพเชฎ เช•เชฐเซ€ เชถเช•เซ€เช เช›เซ€เช. เช†เช—เชณ เช•เซ‹เชฐเซเชธเชฎเชพเช‚ เช†เชชเชฃเซ‡ เช•เชฟเชฌเชพเชจเชพเชฎเชพเช‚ เชตเชฟเชเซเชฏเซเชฒเชพเช‡เชเซ‡เชถเชจ เชœเซ‹เชˆเชถเซเช‚ เช…เชจเซ‡ เชเช• เชธเชฐเชณ เชกเซ‡เชถเชฌเซ‹เชฐเซเชก เชฌเชจเชพเชตเซ€เชถเซเช‚. เชคเซ‡ เช‰เชฒเซเชฒเซ‡เช–เชจเซ€เชฏ เช›เซ‡ เช•เซ‡ Logstash เชฐเซ‚เชชเชฐเซ‡เช–เชพเช‚เช•เชจ เชซเชพเช‡เชฒเชจเซ‡ เชšเซ‹เช•เซเช•เชธ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟเช“เชฎเชพเช‚ เชธเชคเชค เช…เชชเชกเซ‡เชŸ เช•เชฐเชตเชพเชจเซ€ เชœเชฐเซ‚เชฐ เช›เซ‡, เช‰เชฆเชพเชนเชฐเชฃ เชคเชฐเซ€เช•เซ‡, เชœเซเชฏเชพเชฐเซ‡ เช†เชชเชฃเซ‡ เชซเซ€เชฒเซเชกเชจเซ€ เช•เชฟเช‚เชฎเชคเชจเซ‡ เชจเช‚เชฌเชฐเชฅเซ€ เชถเชฌเซเชฆเชฎเชพเช‚ เชฌเชฆเชฒเชตเชพ เชฎเชพเช‚เช—เซ€เช เช›เซ€เช. เชนเชตเซ‡ เชชเช›เซ€เชจเชพ เชฒเซ‡เช–เซ‹เชฎเชพเช‚ เช†เชชเชฃเซ‡ เช† เชธเชคเชค เช•เชฐเซ€เชถเซเช‚.

เชคเซ‡เชฅเซ€ เชŸเซเชฏเซเชจ เชฐเชนเซ‹Telegram, เชซเซ‡เชธเชฌเซเช•, VK, เชŸเซ€เชเชธ เชธเซ‹เชฒเซเชฏเซเชถเชจ เชฌเซเชฒเซ‹เช—), เชฏเชพเชจเซเชกเซ‡เช•เซเชท เชเซ‡เชจ.

เชธเซ‹เชฐเซเชธ: www.habr.com

เชเช• เชŸเชฟเชชเซเชชเชฃเซ€ เช‰เชฎเซ‡เชฐเซ‹