ProHoster > ะ‘ะปะพะณ > เบเบฒเบ™เบšเปเบฅเบดเบซเบฒเบ™ > 2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เปƒเบ™เบ—เบตเปˆเบชเบธเบ” เบšเบปเบ”เบ„เบงเบฒเบก เบžเบงเบโ€‹เป€เบฎเบปเบฒโ€‹เป„เบ”เป‰โ€‹เบžเบปเบš ELK stack, เบชเบดเปˆเบ‡เบ—เบตเปˆเบœเบฐเบฅเบดเบ”เบ•เบฐเบžเบฑเบ™เบŠเบญเบšเปเบงเบกเบฑเบ™เบ›เบฐเบเบญเบšเบ”เป‰เบงเบ. เปเบฅเบฐเบงเบฝเบเบ‡เบฒเบ™เบ—เปเบฒเบญเบดเบ”เบ—เบตเปˆเบงเบดเบชเบฐเบงเบฐเบเบญเบ™เบ›เบฐเป€เบŠเบตเบ™เบเบฑเบšเป€เบงเบฅเบฒเป€เบฎเบฑเบ”เบงเบฝเบเบเบฑเบš ELK stack เปเบกเปˆเบ™เบเบฒเบ™เบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบเบฑเบšเบฎเบฑเบเบชเบฒเปƒเบ™ elasticsearch เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ•เปเปˆเป„เบ›. เบขเปˆเบฒเบ‡เปƒเบ”เบเปเปˆเบ•เบฒเบก, เบ™เบตเป‰เปเบกเปˆเบ™เบžเบฝเบ‡เปเบ•เปˆเบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบ›เบฒเบ, elasticsearch เป€เบเบฑเบšเบฎเบฑเบเบชเบฒเบšเบฑเบ™เบ—เบถเบเปƒเบ™เบฎเบนเบšเปเบšเบšเบ‚เบญเบ‡เป€เบญเบเบฐเบชเบฒเบ™เบ—เบตเปˆเบกเบตเบšเบฒเบ‡เบ‚เบปเบ‡เป€เบ‚เบ”เปเบฅเบฐเบ„เบธเบ™เบ„เปˆเบฒ, เบŠเบถเปˆเบ‡เบซเบกเบฒเบเบ„เบงเบฒเบกเบงเปˆเบฒเบงเบดเบชเบฐเบงเบฐเบเบญเบ™เบ•เป‰เบญเบ‡เปƒเบŠเป‰เป€เบ„เบทเปˆเบญเบ‡เบกเบทเบ•เปˆเบฒเบ‡เป†เป€เบžเบทเปˆเบญเบงเบดเป€เบ„เบฒเบฐเบ‚เปเป‰เบ„เบงเบฒเบกเบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เบกเบฒเบˆเบฒเบเบฅเบฐเบšเบปเบšเบชเบธเบ”เบ—เป‰เบฒเบ. เบ™เบตเป‰เบชเบฒเบกเบฒเบ”เป€เบฎเบฑเบ”เป„เบ”เป‰เปƒเบ™เบซเบผเบฒเบเบงเบดเบ—เบต - เบ‚เบฝเบ™เป‚เบ›เบผเปเบเบผเบกเบ•เบปเบงเป€เบญเบ‡เบ—เบตเปˆเบˆเบฐเป€เบžเบตเปˆเบกเป€เบญเบเบฐเบชเบฒเบ™เปƒเบ™เบ–เบฒเบ™เบ‚เปเป‰เบกเบนเบ™เป‚เบ”เบเปƒเบŠเป‰ API, เบซเบผเบทเปƒเบŠเป‰เบงเบดเบ—เบตเปเบเป‰เป„เบ‚เบ—เบตเปˆเบเบฝเบกเบžเป‰เบญเบก. เปƒเบ™เบซเบผเบฑเบเบชเบนเบ”เบ™เบตเป‰เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบžเบดเบˆเบฒเบฅเบฐเบ™เบฒเบเบฒเบ™เปเบเป‰เป„เบ‚ logstash, เป€เบŠเบดเปˆเบ‡เป€เบ›เบฑเบ™เบชเปˆเบงเบ™เบซเบ™เบถเปˆเบ‡เบ‚เบญเบ‡ ELK stack. เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบšเบดเปˆเบ‡เบงเบดเบ—เบตเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบชเบฒเบกเบฒเบ”เบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเบˆเบฒเบเบฅเบฐเบšเบปเบš endpoint เป„เบ› Logstash, เปเบฅเบฐเบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป€เบžเบทเปˆเบญเบงเบดเป€เบ„เบฒเบฐเปเบฅเบฐเบ›เปˆเบฝเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เป„เบ›เบซเบฒเบ–เบฒเบ™เบ‚เปเป‰เบกเบนเบ™ Elasticsearch. เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เบชเบดเปˆเบ‡เบ™เบตเป‰, เบžเบงเบเป€เบฎเบปเบฒเป€เบญเบปเบฒเบšเบฑเบ™เบ—เบถเบเบˆเบฒเบ Check Point firewall เป€เบ›เบฑเบ™เบฅเบฐเบšเบปเบšเบ‚เบฒเป€เบ‚เบปเป‰เบฒ.

เบซเบผเบฑเบเบชเบนเบ”เบšเปเปˆเป„เบ”เป‰เบเบงเบกเป€เบญเบปเบฒเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ ELK stack, เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบกเบตเบšเบปเบ”เบ„เบงเบฒเบกเบˆเปเบฒเบ™เบงเบ™เบซเบฅเบฒเบเบเปˆเบฝเบงเบเบฑเบšเบซเบปเบงเบ‚เปเป‰เบ™เบตเป‰; เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบžเบดเบˆเบฒเบฅเบฐเบ™เบฒเบญเบปเบ‡เบ›เบฐเบเบญเบšเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ.

เบกเบฒเบชเป‰เบฒเบ‡เปเบœเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ‡เบฒเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash:

  1. เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบงเปˆเบฒ elasticsearch เบˆเบฐเบเบญเบกเบฎเบฑเบšเบšเบฑเบ™เบ—เบถเบ (เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเปเบฅเบฐเบเบฒเบ™เป€เบ›เบตเบ”เบเบงเป‰เบฒเบ‡เบ‚เบญเบ‡เบžเบญเบ”).
  2. เบžเบงเบเป€เบฎเบปเบฒเบžเบดเบˆเบฒเบฅเบฐเบ™เบฒเบงเบดเบ—เบตเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบชเบฒเบกเบฒเบ”เบชเบปเปˆเบ‡เป€เบซเบ”เบเบฒเบ™เป„เบ›เบซเบฒ Logstash, เป€เบฅเบทเบญเบเบงเบดเบ—เบตเบเบฒเบ™, เปเบฅเบฐเบ›เบฐเบ•เบดเบšเบฑเบ”เบกเบฑเบ™.
  3. เบžเบงเบเป€เบฎเบปเบฒเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบเบฒเบ™เบ›เป‰เบญเบ™เบ‚เปเป‰เบกเบนเบ™เปƒเบ™เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash.
  4. เบžเบงเบเป€เบฎเบปเบฒเบเบณเบ™เบปเบ”เบ„เปˆเบฒ Output เปƒเบ™เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash เปƒเบ™เป‚เปเบ”เบ”เบตเบšเบฑเบเป€เบžเบทเปˆเบญเป€เบ‚เบปเป‰เบฒเปƒเบˆเบงเปˆเบฒเบ‚เปเป‰เบ„เบงเบฒเบกเบšเบฑเบ™เบ—เบถเบเป€เบ›เบฑเบ™เปเบ™เบงเปƒเบ”.
  5. เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹เบเบฒเบ™โ€‹เบเบฑเปˆเบ™โ€‹เบ•เบญเบ‡โ€‹.
  6. เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบšเบ—เบตเปˆเบ–เบทเบเบ•เป‰เบญเบ‡เปƒเบ™ ElasticSearch.
  7. เบเบฒเบ™เป€เบ›เบตเบ”เบ•เบปเบง Logstash.
  8. เบเบฒเบ™โ€‹เบเบงเบ”โ€‹เบชเบญเบšโ€‹เบšเบฑเบ™โ€‹เบ—เบถเบโ€‹เปƒเบ™ Kibanaโ€‹.

เปƒเบซเป‰เป€เบšเบดเปˆเบ‡เปเบ•เปˆเบฅเบฐเบˆเบธเบ”เปƒเบ™เบฅเบฒเบเบฅเบฐเบญเบฝเบ”เป€เบžเบตเปˆเบกเป€เบ•เบตเบก:

เบเบฒเบ™เบเบงเบ”เบชเบญเบš elasticsearch เบˆเบฐเบเบญเบกเบฎเบฑเบšเบšเบฑเบ™เบ—เบถเบ

เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เบชเบดเปˆเบ‡เบ™เบตเป‰, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ™เปเบฒเปƒเบŠเป‰เบ„เปเบฒเบชเบฑเปˆเบ‡ curl เป€เบžเบทเปˆเบญเบเบงเบ”เบชเบญเบšเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡ Elasticsearch เบˆเบฒเบเบฅเบฐเบšเบปเบšเบ—เบตเปˆ Logstash เบ–เบทเบเบ™เปเบฒเป„เบ›เปƒเบŠเป‰. เบ–เป‰เบฒโ€‹เบซเบฒเบโ€‹เบ—เปˆเบฒเบ™โ€‹เบกเบตโ€‹เบเบฒเบ™โ€‹เบเบงเบ”โ€‹เบชเบญเบšโ€‹เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹, เบžเบงเบโ€‹เป€เบฎเบปเบฒโ€‹เบเบฑเบ‡โ€‹เป„เบ”เป‰โ€‹เป‚เบญเบ™โ€‹เบœเบนเป‰โ€‹เปƒเบŠเป‰ / เบฅเบฐโ€‹เบซเบฑเบ”โ€‹เบœเปˆเบฒเบ™โ€‹เบœเปˆเบฒเบ™ curlโ€‹, เบเบฒเบ™โ€‹เบฅเบฐโ€‹เบšเบธ port 9200 เบ–เป‰เบฒโ€‹เบซเบฒเบโ€‹เบงเปˆเบฒโ€‹เบ—เปˆเบฒเบ™โ€‹เบšเปเปˆโ€‹เป„เบ”เป‰โ€‹เบ›เปˆเบฝเบ™โ€‹เปเบ›เบ‡โ€‹เบกเบฑเบ™โ€‹. เบ–เป‰เบฒเบ—เปˆเบฒเบ™เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡เบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เบเบฑเบšเบซเบ™เบถเปˆเบ‡เบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบ—เบธเบเบชเบดเปˆเบ‡เบ—เบธเบเบขเปˆเบฒเบ‡เปเบกเปˆเบ™เบขเบนเปˆเปƒเบ™เบ„เปเบฒเบชเบฑเปˆเบ‡.

[elastic@elasticsearch ~]$ curl -u <<user_name>> : <<password>> -sS -XGET "<<ip_address_elasticsearch>>:9200"
{
  "name" : "elastic-1",
  "cluster_name" : "project",
  "cluster_uuid" : "sQzjTTuCR8q4ZO6DrEis0A",
  "version" : {
    "number" : "7.4.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "fc0eeb6e2c25915d63d871d344e3d0b45ea0ea1e",
    "build_date" : "2019-10-22T17:16:35.176724Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
[elastic@elasticsearch ~]$

เบ–เป‰เบฒเบเบฒเบ™เบ•เบญเบšเบชเบฐ เปœเบญเบ‡ เบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบ•เบญเบšเบชเบฐ เปœเบญเบ‡, เบกเบฑเบ™เบญเบฒเบ”เบˆเบฐเบกเบตเบ‚เปเป‰เบœเบดเบ”เบžเบฒเบ”เบซเบผเบฒเบเบ›เบฐเป€เบžเบ”: เบ‚เบฐเบšเบงเบ™เบเบฒเบ™ elasticsearch เบšเปเปˆเป€เบฎเบฑเบ”เบงเบฝเบ, เบกเบตเบเบฒเบ™เบฅเบฐเบšเบธเบžเบญเบ”เบ—เบตเปˆเบšเปเปˆเบ–เบทเบเบ•เป‰เบญเบ‡, เบซเบผเบทเบžเบญเบ”เบ–เบทเบเบšเบฅเบฑเบญเบเป‚เบ”เบ firewall เปƒเบ™เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ—เบตเปˆ elasticsearch เบ–เบทเบเบ•เบดเบ”เบ•เบฑเป‰เบ‡.

เปƒเบซเป‰เป€เบšเบดเปˆเบ‡เบงเบดเบ—เบตเบ—เบตเปˆเบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเป„เบ›เบซเบฒ Logstash เบˆเบฒเบ firewall เบˆเบธเบ”เบเบงเบ”เบเบฒ

เบˆเบฒเบเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบเบฒเบ™เบ„เบธเป‰เบกเบ„เบญเบ‡เบˆเบธเบ”เบเบงเบ”เบเบฒเบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเป„เบ›เบเบฑเบ‡ Logstash เบœเปˆเบฒเบ™ syslog เป‚เบ”เบเปƒเบŠเป‰ log_exporter utility, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบญเปˆเบฒเบ™เป€เบžเบตเปˆเบกเป€เบ•เบตเบกเบเปˆเบฝเบงเบเบฑเบšเบกเบฑเบ™เบ—เบตเปˆเบ™เบตเป‰. เบšเบปเบ”เบ„เบงเบฒเบก, เปƒเบ™เบ—เบตเปˆเบ™เบตเป‰เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบ›เปˆเบญเบเปƒเบซเป‰เบžเบฝเบ‡เปเบ•เปˆเบ„เปเบฒเบชเบฑเปˆเบ‡เบ—เบตเปˆเบชเป‰เบฒเบ‡เบ™เป‰เปเบฒ:

cp_log_export เป€เบžเบตเปˆเบกเบŠเบทเปˆ check_point_syslog target-server < > target-port 5555 protocol tcp format generic read-mode semi-unified

< > - เบ—เบตเปˆเบขเบนเปˆเบ‚เบญเบ‡เป€เบŠเบตเบšเป€เบงเบตเบ—เบตเปˆ Logstash เปเบฅเปˆเบ™, เป€เบ›เบปเป‰เบฒเปเบฒเบ-เบžเบญเบ” 5555 - เบžเบญเบ”เบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบ, เบเบฒเบ™เบชเบปเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเบœเปˆเบฒเบ™ tcp เบชเบฒเบกเบฒเบ”เป‚เบซเบฅเบ”เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเป„เบ”เป‰, เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™เปƒเบ™เบšเบฒเบ‡เบเปเบฅเบฐเบ™เบตเบกเบฑเบ™เปƒเบŠเป‰ udp เบขเปˆเบฒเบ‡เบ–เบทเบเบ•เป‰เบญเบ‡เบเบงเปˆเบฒ.

เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ INPUT เปƒเบ™เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™, เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ•เบฑเป‰เบ‡เบขเบนเปˆเปƒเบ™เป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบต /etc/logstash/conf.d/. เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ›เบฐเบเบญเบšเบ”เป‰เบงเบ 3 เบžเบฒเบเบชเปˆเบงเบ™เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบซเบกเบฒเบ: INPUT, FILTER, OUTPUT. IN เบ›เบฑเบ”เป„เบˆเบ™เปเบฒเป€เบ‚เบปเป‰เบฒ เบžเบงเบเป€เบฎเบปเบฒเบŠเบตเป‰เบšเบญเบเบšเปˆเบญเบ™เบ—เบตเปˆเบฅเบฐเบšเบปเบšเบˆเบฐเป€เบญเบปเบฒเบšเบฑเบ™เบ—เบถเบเบˆเบฒเบ, เปƒเบ™ FILTER parse the log - เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบงเบดเบ—เบตเบเบฒเบ™เปเบšเปˆเบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™เบŠเปˆเบญเบ‡เบ‚เปเป‰เบกเบนเบ™เปเบฅเบฐเบ„เปˆเบฒ, เปƒเบ™ OUTPUT เบžเบงเบเป€เบฎเบปเบฒเบเบณเบ™เบปเบ”เบ„เปˆเบฒเบเบฐเปเบชเบญเบญเบ - เบšเปˆเบญเบ™เบ—เบตเปˆเบšเบฑเบ™เบ—เบถเบเบ—เบตเปˆเปเบเบเบงเบดเป€เบ„เบฒเบฐเบˆเบฐเบ–เบทเบเบชเบปเปˆเบ‡.

เบ—เปเบฒเบญเบดเบ”, เปƒเบซเป‰เบžเบงเบเป€เบฎเบปเบฒ configure INPUT, เบžเบดเบˆเบฒเบฅเบฐเบ™เบฒเบšเบฒเบ‡เบ›เบฐเป€เบžเบ”เบ—เบตเปˆเบชเบฒเบกเบฒเบ”เป€เบ›เบฑเบ™ - file, tcp เปเบฅเบฐ exe .

TCP:

input {
tcp {
    port => 5555
    host => โ€œ10.10.1.205โ€
    type => "checkpoint"
    mode => "server"
}
}

เป‚เปเบ” => "เป€เบŠเบตเบšเป€เบงเบต"
เบŠเบตเป‰เปƒเบซเป‰เป€เบซเบฑเบ™เบงเปˆเบฒ Logstash เบเปเบฒเบฅเบฑเบ‡เบเบญเบกเบฎเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ.

เบžเบญเบ” => 5555
เป€เบˆเบปเป‰เบฒเบžเบฒเบš => "10.10.1.205"
เบžเบงเบเป€เบฎเบปเบฒเบเบญเบกเบฎเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบœเปˆเบฒเบ™เบ—เบตเปˆเบขเบนเปˆ IP 10.10.1.205 (Logstash), เบžเบญเบ” 5555 - เบžเบญเบ”เบ•เป‰เบญเบ‡เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบญเบฐเบ™เบธเบเบฒเบ”เป‚เบ”เบเบ™เบฐเป‚เบเบšเบฒเบเป„เบŸเบงเป.

เบ›เบฐเป€เบžเบ” => "เบ”เปˆเบฒเบ™"
เบžเบงเบเป€เบฎเบปเบฒเบซเบกเบฒเบเป€เบญเบเบฐเบชเบฒเบ™, เบชเบฐเบ”เบงเบเบซเบผเบฒเบเบ–เป‰เบฒเบซเบฒเบเบงเปˆเบฒเบ—เปˆเบฒเบ™เบกเบตเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบ‚เบฒเป€เบ‚เบปเป‰เบฒเบซเบผเบฒเบ. เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™, เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเปเบ•เปˆเบฅเบฐเบ„เบปเบ™เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ‚เบฝเบ™เบ•เบปเบงเบเบญเบ‡เบ‚เบญเบ‡เบ—เปˆเบฒเบ™เป€เบญเบ‡เป‚เบ”เบเปƒเบŠเป‰เป€เบซเบ”เบœเบปเบ™เบ–เป‰เบฒเบเบฒเบ™เบเปเปˆเบชเป‰เบฒเบ‡.

เป„เบŸ:

input {
  file {
    path => "/var/log/openvas_report/*"
    type => "openvas"
    start_position => "beginning"
    }
}

เบฅเบฒเบโ€‹เบฅเบฐโ€‹เบญเบฝเบ”โ€‹เบ‚เบญเบ‡โ€‹เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹:
เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡ => "/var/log/openvas_report/*"
เบžเบงเบเป€เบฎเบปเบฒเบŠเบตเป‰เบšเบญเบเป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบตเบ—เบตเปˆเป„เบŸเบฅเปŒเบ•เป‰เบญเบ‡เบเบฒเบ™เบญเปˆเบฒเบ™.

เบ›เบฐเป€เบžเบ” => "openvas"
เบ›เบฐเป€เบžเบ”เป€เบซเบ”เบเบฒเบ™.

start_position => "เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™"
เป€เบกเบทเปˆเบญเบ›เปˆเบฝเบ™เป„เบŸเบฅเปŒ, เบกเบฑเบ™เบˆเบฐเบญเปˆเบฒเบ™เป„เบŸเบฅเปŒเบ—เบฑเบ‡เบซเบกเบปเบ”; เบ–เป‰เบฒเบ—เปˆเบฒเบ™เบ•เบฑเป‰เบ‡ "เบชเบดเป‰เบ™เบชเบธเบ”", เบฅเบฐเบšเบปเบšเบฅเปเบ–เป‰เบฒเบšเบฑเบ™เบ—เบถเบเปƒเบซเบกเปˆเบ›เบฒเบเบปเบ”เบขเบนเปˆเปƒเบ™เบ•เบญเบ™เบ—เป‰เบฒเบเบ‚เบญเบ‡เป„เบŸเบฅเปŒ.

Exec:

input {
  exec {
    command => "ls -alh"
    interval => 30
  }
}

เบเบฒเบ™โ€‹เบ™เปเบฒโ€‹เปƒเบŠเป‰โ€‹เบเบฒเบ™โ€‹เบ›เป‰เบญเบ™โ€‹เบ‚เปเป‰โ€‹เบกเบนเบ™โ€‹เบ™เบตเป‰โ€‹, เบ„เปเบฒโ€‹เบชเบฑเปˆเบ‡โ€‹เปเบเบฐ (เป€เบ—เบปเปˆเบฒโ€‹เบ™เบฑเป‰เบ™โ€‹!) เบ–เบทเบโ€‹เป€เบ›เบตเบ”โ€‹เบ•เบปเบงโ€‹เปเบฅเบฐโ€‹เบœเบปเบ™โ€‹เบœเบฐโ€‹เบฅเบดเบ”โ€‹เบ‚เบญเบ‡โ€‹เบกเบฑเบ™โ€‹เป„เบ”เป‰โ€‹เบ–เบทเบโ€‹เบ›เปˆเบฝเบ™โ€‹เป€เบ›เบฑเบ™โ€‹เบ‚เปเป‰โ€‹เบ„เบงเบฒเบกโ€‹เบšเบฑเบ™โ€‹เบ—เบถเบโ€‹.

เบ„เปเบฒเบชเบฑเปˆเบ‡ => "ls -alh"
เบ„เปเบฒเบชเบฑเปˆเบ‡เบ—เบตเปˆเบœเบปเบ™เบœเบฐเบฅเบดเบ”เบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบชเบปเบ™เปƒเบˆ.

เป„เบฅเบเบฐเบซเปˆเบฒเบ‡ => 30
เป„เบฅเบเบฐเบซเปˆเบฒเบ‡เบเบฒเบ™เป€เบญเบตเป‰เบ™เบ„เปเบฒเบชเบฑเปˆเบ‡เป€เบ›เบฑเบ™เบงเบดเบ™เบฒเบ—เบต.

เป€เบžเบทเปˆเบญเปƒเบซเป‰เป„เบ”เป‰เบฎเบฑเบšเบšเบฑเบ™เบ—เบถเบเบˆเบฒเบ firewall, เบžเบงเบเป€เบฎเบปเบฒเบฅเบปเบ‡เบ—เบฐเบšเบฝเบ™เบ•เบปเบงเบเบญเบ‡ tcp เบซเบผเบท udp, เบ‚เบถเป‰เบ™เบเบฑเบšเบงเบดเบ—เบตเบเบฒเบ™เบšเบฑเบ™เบ—เบถเบเบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เป„เบ›เบซเบฒ Logstash.

เบžเบงเบเป€เบฎเบปเบฒเบเบณเบ™เบปเบ”เบ„เปˆเบฒ Output เปƒเบ™เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash เปƒเบ™เป‚เปเบ”เบ”เบตเบšเบฑเบเป€เบžเบทเปˆเบญเป€เบ‚เบปเป‰เบฒเปƒเบˆเบงเปˆเบฒเบ‚เปเป‰เบ„เบงเบฒเบกเบšเบฑเบ™เบ—เบถเบเป€เบ›เบฑเบ™เปเบ™เบงเปƒเบ”.

เบซเบผเบฑเบ‡เบˆเบฒเบเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเป„เบ”เป‰เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ INPUT เปเบฅเป‰เบง, เบžเบงเบเป€เบฎเบปเบฒเบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เป€เบ‚เบปเป‰เบฒเปƒเบˆเบงเปˆเบฒเบ‚เปเป‰เบ„เบงเบฒเบกเบšเบฑเบ™เบ—เบถเบเบˆเบฐเบกเบตเบฅเบฑเบเบชเบฐเบ™เบฐเปเบ™เบงเปƒเบ”เปเบฅเบฐเบงเบดเบ—เบตเบเบฒเบ™เปƒเบ”เบ—เบตเปˆเบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เปƒเบŠเป‰เป€เบžเบทเปˆเบญเบเปเบฒเบ™เบปเบ”เบ•เบปเบงเบเบญเบ‡เบšเบฑเบ™เบ—เบถเบ (parser).

เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เบชเบดเปˆเบ‡เบ™เบตเป‰, เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบ™เปเบฒเปƒเบŠเป‰เบ•เบปเบงเบเบญเบ‡เบ—เบตเปˆเบชเบปเปˆเบ‡เบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบšเป„เบ› stdout เป€เบžเบทเปˆเบญเป€เบšเบดเปˆเบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเบ•เบปเป‰เบ™เบชเบฐเบšเบฑเบš; เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ—เบตเปˆเบชเบปเบกเบšเบนเบ™เปƒเบ™เบ›เบฑเบ”เบˆเบธเบšเบฑเบ™เบˆเบฐเบกเบตเบฅเบฑเบเบชเบฐเบ™เบฐเบ™เบตเป‰:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => โ€œ10.10.1.205โ€
   	 }
}

output 
{
	if [type] == "checkpoint" 
       {
		stdout { codec=> json }
	}
}

เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบ„เปเบฒเบชเบฑเปˆเบ‡เป€เบžเบทเปˆเบญเบเบงเบ”เบชเบญเบš:
sudo /usr/share/logstash/bin//logstash -f /etc/logstash/conf.d/checkpoint.conf
เบžเบงเบเป€เบฎเบปเบฒเป€เบซเบฑเบ™เบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบš, เบฎเบนเบšเบžเบฒเบšเปเบกเปˆเบ™เบชเบฒเบกเบฒเบ”เบ„เบฅเบดเบเป„เบ”เป‰:

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เบ–เป‰เบฒโ€‹เป€เบˆเบปเป‰เบฒโ€‹เบ„เบฑเบ”โ€‹เบฅเบญเบโ€‹เบกเบฑเบ™โ€‹เบˆเบฐโ€‹เป€เบ›เบฑเบ™โ€‹เบ”เบฑเปˆเบ‡โ€‹เบ™เบตเป‰โ€‹:

action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,0x5,0xfe0a0a0a,0xc0000000}" origin="10.10.10.254" originsicname="CN=ts-spb-cpgw-01,O=cp-spb-mgmt-01.tssolution.local.kncafb" sequencenum="8" time="1576766483" version="5" context_num="1" dst="10.10.10.10" dst_machine_name="[email protected]" layer_name="TSS-Standard Security" layer_name="TSS-Standard Application" layer_uuid="dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0" layer_uuid="dbee3718-cf2f-4de0-8681-529cb75be9a6" match_id="8" match_id="33554431" parent_rule="0" parent_rule="0" rule_action="Accept" rule_action="Accept" rule_name="Implicit Cleanup" rule_uid="6dc2396f-9644-4546-8f32-95d98a3344e6" product="VPN-1 & FireWall-1" proto="17" s_port="37317" service="53" service_id="domain-udp" src="10.10.1.180" ","type":"qqqqq","host":"10.10.10.250","@version":"1","port":50620}{"@timestamp":"2019-12-19T14:50:12.153Z","message":"time="1576766483" action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,

เบŠเบญเบเบซเบฒเบขเบนเปˆเปƒเบ™เบ‚เปเป‰เบ„เบงเบฒเบกเป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰, เบžเบงเบเป€เบฎเบปเบฒเป€เบ‚เบปเป‰เบฒเปƒเบˆเบงเปˆเบฒเบšเบฑเบ™เบ—เบถเบเบกเบตเบฅเบฑเบเบชเบฐเบ™เบฐเบ„เป‰เบฒเบเบ„เบท: field = value เบซเบผเบท key = value, เบŠเบถเปˆเบ‡เบซเบกเบฒเบเบ„เบงเบฒเบกเบงเปˆเบฒเบ•เบปเบงเบเบญเบ‡เบ—เบตเปˆเป€เบญเบตเป‰เบ™เบงเปˆเบฒ kv เปเบกเปˆเบ™เป€เบซเบกเบฒเบฐเบชเบปเบก. เป€เบžเบทเปˆเบญเป€เบฅเบทเบญเบเบเบฒเบ™เบเบฑเปˆเบ™เบ•เบญเบ‡เบ—เบตเปˆเป€เบซเบกเบฒเบฐเบชเบปเบกเบชเปเบฒเบฅเบฑเบšเปเบ•เปˆเบฅเบฐเบเปเบฅเบฐเบ™เบต, เบกเบฑเบ™เบ„เบงเบ™เบˆเบฐเป€เบ›เบฑเบ™เบ„เบงเบฒเบกเบ„เบดเบ”เบ—เบตเปˆเบ”เบตเบ—เบตเปˆเบˆเบฐเบ„เบธเป‰เบ™เป€เบ„เบตเบเบเบฑเบšเบžเบงเบเป€เบ‚เบปเบฒเปƒเบ™เป€เบญเบเบฐเบชเบฒเบ™เบ”เป‰เบฒเบ™เบงเบดเบŠเบฒเบเบฒเบ™, เบซเบผเบทเบ–เบฒเบกเบซเบกเบนเปˆเป€เบžเบทเปˆเบญเบ™.

เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹เบเบฒเบ™โ€‹เบเบฑเปˆเบ™โ€‹เบ•เบญเบ‡โ€‹

เปƒเบ™เบ‚เบฑเป‰เบ™เบ•เบญเบ™เบชเบธเบ”เบ—เป‰เบฒเบเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเป€เบฅเบทเบญเบ kv, เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ‚เบญเบ‡เบเบฒเบ™เบเบฑเปˆเบ™เบ•เบญเบ‡เบ™เบตเป‰เปเบกเปˆเบ™เบ™เปเบฒเบชเบฐเป€เบซเบ™เบตเบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰:

filter {
if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
}
}

เบžเบงเบเป€เบฎเบปเบฒเป€เบฅเบทเบญเบเบชเบฑเบ™เบเบฒเบฅเบฑเบเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเปเบšเปˆเบ‡เบžเบฒเบเบชเบฐเบซเบ™เบฒเบกเปเบฅเบฐเบกเบนเบ™เบ„เปˆเบฒ - "=". เบ–เป‰เบฒเบžเบงเบเป€เบฎเบปเบฒเบกเบตเบฅเบฒเบเบเบฒเบ™เบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เบขเบนเปˆเปƒเบ™เบšเบฑเบ™เบ—เบถเบ, เบžเบงเบเป€เบฎเบปเบฒเบšเบฑเบ™เบ—เบถเบเบžเบฝเบ‡เปเบ•เปˆเบซเบ™เบถเปˆเบ‡เบ•เบปเบงเบขเปˆเบฒเบ‡เปƒเบ™เบ–เบฒเบ™เบ‚เปเป‰เบกเบนเบ™, เบ–เป‰เบฒเบšเปเปˆเบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™เบ—เปˆเบฒเบ™เบˆเบฐเบชเบดเป‰เบ™เบชเบธเบ”เบ”เป‰เบงเบ array เบ‚เบญเบ‡เบ„เปˆเบฒเบ”เบฝเบงเบเบฑเบ™, เบ™เบฑเป‰เบ™เปเบกเปˆเบ™, เบ–เป‰เบฒเบžเบงเบเป€เบฎเบปเบฒเบกเบตเบ‚เปเป‰เบ„เบงเบฒเบก "foo = some foo = some" เบžเบงเบเป€เบฎเบปเบฒเบ‚เบฝเบ™เบžเบฝเบ‡เปเบ•เปˆ foo. = เบšเบฒเบ‡.

เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบšเบ—เบตเปˆเบ–เบทเบเบ•เป‰เบญเบ‡เปƒเบ™ ElasticSearch

เป€เบกเบทเปˆเบญเบเบฒเบ™เบเบฑเปˆเบ™เบ•เบญเบ‡เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เปˆเบฒ, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบญเบฑเบšเป‚เบซเบฅเบ”เบšเบฑเบ™เบ—เบถเบเป„เบ›เบเบฑเบ‡เบ–เบฒเบ™เบ‚เปเป‰เบกเบนเบ™ เปเบœเปˆเบ™เบเบทเบ”:

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

เบ–เป‰เบฒเป€เบญเบเบฐเบชเบฒเบ™เบ–เบทเบเป€เบŠเบฑเบ™เบ”เป‰เบงเบเบ›เบฐเป€เบžเบ”เบˆเบธเบ”เบเบงเบ”เบเบฒ, เบžเบงเบเป€เบฎเบปเบฒเบšเบฑเบ™เบ—เบถเบเป€เบซเบ”เบเบฒเบ™เปƒเบ™เบ–เบฒเบ™เบ‚เปเป‰เบกเบนเบ™ elasticsearch, เป€เบŠเบดเปˆเบ‡เบเบญเบกเบฎเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเปƒเบ™ 10.10.1.200 เปƒเบ™เบžเบญเบ” 9200 เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™. เปเบ•เปˆเบฅเบฐเป€เบญเบเบฐเบชเบฒเบ™เบ–เบทเบเบšเบฑเบ™เบ—เบถเบเป„เบงเป‰เปƒเบ™เบ”เบฑเบ”เบŠเบฐเบ™เบตเบชเบฐเป€เบžเบฒเบฐ, เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ™เบตเป‰เบžเบงเบเป€เบฎเบปเบฒเบšเบฑเบ™เบ—เบถเบเปƒเบชเปˆเบ”เบฑเบ”เบŠเบฐเบ™เบต "เบˆเบธเบ”เบเบงเบ”เบเบฒ" + เบงเบฑเบ™เบ—เบตเป€เบงเบฅเบฒเบ›เบฐเบˆเบธเบšเบฑเบ™. เปเบ•เปˆเบฅเบฐเบ”เบฑเบ”เบŠเบฐเบ™เบตเบชเบฒเบกเบฒเบ”เบกเบตเบŠเบธเบ”เบชเบฐเป€เบžเบฒเบฐเบ‚เบญเบ‡เบŠเปˆเบญเบ‡เบ‚เปเป‰เบกเบนเบ™, เบซเบผเบทเบ–เบทเบเบชเป‰เบฒเบ‡เป‚เบ”เบเบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เป€เบกเบทเปˆเบญเบŠเปˆเบญเบ‡เบ‚เปเป‰เบกเบนเบ™เปƒเปเปˆเบ›เบฒเบเบปเบ”เบขเบนเปˆเปƒเบ™เบ‚เปเป‰เบ„เบงเบฒเบก; เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบŠเปˆเบญเบ‡เบ‚เปเป‰เบกเบนเบ™ เปเบฅเบฐเบ›เบฐเป€เบžเบ”เบ‚เบญเบ‡เบžเบงเบเบกเบฑเบ™เบชเบฒเบกเบฒเบ”เป€เบšเบดเปˆเบ‡เป„เบ”เป‰เปƒเบ™เปเบœเบ™เบ—เบตเปˆ.

เบ–เป‰เบฒเบ—เปˆเบฒเบ™เบกเบตเบเบฒเบ™เบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡ (เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบšเบดเปˆเบ‡เปƒเบ™เบžเบฒเบเบซเบผเบฑเบ‡), เบ‚เปเป‰เบกเบนเบ™เบ›เบฐเบˆเปเบฒเบ•เบปเบงเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ‚เบฝเบ™เปƒเบชเปˆเบ”เบฑเบ”เบŠเบฐเบ™เบตเบชเบฐเป€เบžเบฒเบฐเบ•เป‰เบญเบ‡เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบฅเบฐเบšเบธ, เปƒเบ™เบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰เปเบกเปˆเบ™ "tssolution" เบเบฑเบšเบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™ "เป€เบขเบฑเบ™". เบ—เปˆเบฒเบ™โ€‹เบชเบฒโ€‹เบกเบฒเบ”โ€‹เบˆเปเบฒโ€‹เปเบ™เบโ€‹เบชเบดเบ”โ€‹เบ—เบดโ€‹เบœเบนเป‰โ€‹เปƒเบŠเป‰โ€‹เปƒเบ™โ€‹เบเบฒเบ™โ€‹เบ‚เบฝเบ™โ€‹เบšเบฑเบ™โ€‹เบ—เบถเบโ€‹เบžเบฝเบ‡โ€‹เปเบ•เปˆโ€‹เบเบฑเบšโ€‹เบ”เบฑเบ”โ€‹เบŠเบฐโ€‹เบ™เบตโ€‹เบชเบฐโ€‹เป€เบžเบฒเบฐโ€‹เปƒเบ”โ€‹เบซเบ™เบถเปˆเบ‡โ€‹เปเบฅเบฐโ€‹เบšเปเปˆโ€‹เบกเบตโ€‹เบซเบผเบฒเบโ€‹.

เป€เบ›เบตเบ”เบ•เบปเบง Logstash.

เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => โ€œ10.10.1.205โ€
   	 }
}

filter {
        if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
        }
}

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

เบžเบงเบเป€เบฎเบปเบฒเบเบงเบ”เป€เบšเบดเปˆเบ‡เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบชเปเบฒเบฅเบฑเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡:
/usr/share/logstash/bin//logstash -f checkpoint.conf
2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เป€เบฅเบตเปˆเบกเบ‚เบฐเบšเบงเบ™เบเบฒเบ™ Logstash:
sudo systemctl เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™ logstash

เบžเบงเบเป€เบฎเบปเบฒเบเบงเบ”เป€เบšเบดเปˆเบ‡เบงเปˆเบฒเบ‚เบฐเบšเบงเบ™เบเบฒเบ™เป„เบ”เป‰เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เปเบฅเป‰เบง:
sudo systemctl เบชเบฐเบ–เบฒเบ™เบฐ logstash

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เปƒเบซเป‰เบเบงเบ”เป€เบšเบดเปˆเบ‡เบงเปˆเบฒเป€เบ•เบปเป‰เบฒเบชเบฝเบšเปเบกเปˆเบ™เบ‚เบถเป‰เบ™:
netstat -nat |grep 5555

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เบเบฒเบ™โ€‹เบเบงเบ”โ€‹เบชเบญเบšโ€‹เบšเบฑเบ™โ€‹เบ—เบถเบโ€‹เปƒเบ™ Kibanaโ€‹.

เบซเบผเบฑเบ‡เบˆเบฒเบเบ—เบตเปˆเบ—เบธเบเบชเบดเปˆเบ‡เบ—เบธเบเบขเปˆเบฒเบ‡เบเปเบฒเบฅเบฑเบ‡เปเบฅเปˆเบ™, เป„เบ›เบ—เบตเปˆ Kibana - เบ„เบปเป‰เบ™เบžเบปเบš, เปƒเบซเป‰เปเบ™เปˆเปƒเบˆเบงเปˆเบฒเบ—เบธเบเบชเบดเปˆเบ‡เบ—เบธเบเบขเปˆเบฒเบ‡เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบขเปˆเบฒเบ‡เบ–เบทเบเบ•เป‰เบญเบ‡, เบฎเบนเบšเบžเบฒเบšเบชเบฒเบกเบฒเบ”เบ„เบฅเบดเบเป„เบ”เป‰!

2. Elastic stack: เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž. Logstash

เบšเบฑเบ™เบ—เบถเบเบ—เบฑเบ‡เบซเบกเบปเบ”เบขเบนเปˆเปƒเบ™เบชเบฐเบ–เบฒเบ™เบ—เบตเปˆเปเบฅเบฐเบžเบงเบเป€เบฎเบปเบฒเบชเบฒเบกเบฒเบ”เป€เบšเบดเปˆเบ‡เบ—เบปเปˆเบ‡เบ™เบฒเบ—เบฑเบ‡เบซเบกเบปเบ”เปเบฅเบฐเบ„เบธเบ™เบ„เปˆเบฒเบ‚เบญเบ‡เบกเบฑเบ™!

เบชเบฐเบซเบฅเบธเบš

เบžเบงเบเป€เบฎเบปเบฒเป„เบ”เป‰เป€เบšเบดเปˆเบ‡เบงเบดเบ—เบตเบเบฒเบ™เบ‚เบฝเบ™เป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash, เปเบฅเบฐเป€เบ›เบฑเบ™เบœเบปเบ™เบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเป„เบ”เป‰เบฎเบฑเบšเบ•เบปเบงเบงเบดเป€เบ„เบฒเบฐเบ‚เบญเบ‡เบŠเปˆเบญเบ‡เบ‚เปเป‰เบกเบนเบ™เปเบฅเบฐเบ„เปˆเบฒเบ—เบฑเบ‡เบซเบกเบปเบ”. เปƒเบ™เบ›เบฑเบ”เบˆเบธเบšเบฑเบ™เบžเบงเบเป€เบฎเบปเบฒเบชเบฒเบกเบฒเบ”เป€เบฎเบฑเบ”เบงเบฝเบเบเบฑเบšเบเบฒเบ™เบ„เบปเป‰เบ™เบซเบฒเปเบฅเบฐเบงเบฒเบ‡เปเบœเบ™เบชเปเบฒเบฅเบฑเบšเบ‚เบปเบ‡เป€เบ‚เบ”เบชเบฐเป€เบžเบฒเบฐ. เบ•เปเปˆเป„เบ›เปƒเบ™เบซเบผเบฑเบเบชเบนเบ”เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบšเบดเปˆเบ‡เบเบฒเบ™เป€เบšเบดเปˆเบ‡เป€เบซเบฑเบ™เปƒเบ™ Kibana เปเบฅเบฐเบชเป‰เบฒเบ‡ dashboard เบ‡เปˆเบฒเบเบ”เบฒเบ. เบกเบฑเบ™เป€เบ›เบฑเบ™เบกเบนเบ™เบ„เปˆเบฒเบ—เบตเปˆเบเปˆเบฒเบงเป€เบ–เบดเบ‡เบงเปˆเบฒเป„เบŸเบฅเปŒเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ Logstash เบ•เป‰เบญเบ‡เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡เปƒเบ™เบšเบฒเบ‡เบชเบฐเบ–เบฒเบ™เบฐเบเบฒเบ™, เบ•เบปเบงเบขเปˆเบฒเบ‡, เป€เบกเบทเปˆเบญเบžเบงเบเป€เบฎเบปเบฒเบ•เป‰เบญเบ‡เบเบฒเบ™เบ›เปˆเบฝเบ™เบ„เปˆเบฒเบ‚เบญเบ‡เบžเบฒเบเบชเบฐเบซเบ™เบฒเบกเบˆเบฒเบเบ•เบปเบงเป€เบฅเบเป„เบ›เบซเบฒเบ„เปเบฒ. เปƒเบ™เบšเบปเบ”เบ„เบงเบฒเบกเบ•เปเปˆเป„เบ›เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบฎเบฑเบ”เบชเบดเปˆเบ‡เบ™เบตเป‰เบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡.

เบชเบฐเบ™เบฑเป‰เบ™เบขเบนเปˆเบ•เบดเบ”เบ•เบฒเบก (เป‚เบ—เบฅเบฐเป€เบฅเบ, เป€เบŸเบชเบšเบธเบ, VK, TS Solution Blog), Yandex.Zen.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: www.habr.com

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™