2. Elastic stack- လုံခြုံရေးမှတ်တမ်းများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။ Logstash

နောက်ဆုံး၌ ဆောင်းပါး ငါတို့တွေ့တယ်။ ELK stack၎င်းတွင် မည်သည့်ဆော့ဖ်ဝဲလ်ထုတ်ကုန်များ ပါဝင်သနည်း။ ELK stack နှင့် အလုပ်လုပ်သောအခါ အင်ဂျင်နီယာတစ်ဦး ရင်ဆိုင်ရမည့် ပထမဆုံးအလုပ်မှာ နောက်ဆက်တွဲခွဲခြမ်းစိတ်ဖြာမှုအတွက် elasticsearch တွင် သိုလှောင်မှုအတွက် မှတ်တမ်းများပေးပို့ခြင်းဖြစ်ပါသည်။ သို့သော်၊ ၎င်းသည် နှုတ်ခမ်းဝန်ဆောင်မှုမျှသာဖြစ်သည်၊ elasticsearch သည် အချို့သောနယ်ပယ်များနှင့်တန်ဖိုးများရှိသည့်စာရွက်စာတမ်းများ၏ပုံစံဖြင့်မှတ်တမ်းများကိုသိမ်းဆည်းသည်၊ ဆိုလိုသည်မှာအင်ဂျင်နီယာသည်အဆုံးစနစ်များမှပေးပို့သောမက်ဆေ့ခ်ျကိုခွဲခြမ်းစိတ်ဖြာရန်အမျိုးမျိုးသောကိရိယာများကိုအသုံးပြုရမည်ဟုဆိုလိုသည်။ ၎င်းကို နည်းလမ်းများစွာဖြင့် လုပ်ဆောင်နိုင်သည် - API ကိုအသုံးပြု၍ ဒေတာဘေ့စ်သို့ စာရွက်စာတမ်းများထည့်မည့် ပရိုဂရမ်ကို သင်ကိုယ်တိုင်ရေးပါ၊ သို့မဟုတ် အဆင်သင့်လုပ်ထားသော ဖြေရှင်းချက်များကို အသုံးပြုပါ။ ဤသင်တန်းတွင်ကျွန်ုပ်တို့သည်အဖြေကိုစဉ်းစားပါမည်။ logstashELK stack ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ ကျွန်ုပ်တို့သည် အဆုံးမှတ်စနစ်များမှ မှတ်တမ်းများကို Logstash သို့ မည်သို့ပေးပို့နိုင်သည်ကို ကြည့်ရှုမည်ဖြစ်ပြီး၊ ထို့နောက်တွင် ခွဲခြမ်းစိတ်ဖြာပြီး Elasticsearch ဒေတာဘေ့စ်သို့ ပြန်ညွှန်းရန်အတွက် ဖွဲ့စည်းမှုဖိုင်တစ်ခုကို ကျွန်ုပ်တို့ သတ်မှတ်ပါမည်။ ထိုသို့လုပ်ဆောင်ရန် ကျွန်ုပ်တို့သည် အဝင်စနစ်အဖြစ် Check Point firewall မှ မှတ်တမ်းများကို ရယူပါသည်။

ဤအကြောင်းအရာနှင့်ပတ်သက်သော ဆောင်းပါးများစွာရှိသောကြောင့် သင်တန်းသည် ELK stack တပ်ဆင်ခြင်းအား အကျုံးဝင်မည်မဟုတ်ပါ၊ အဘယ်ကြောင့်ဆိုသော် ကျွန်ုပ်တို့သည် configuration အစိတ်အပိုင်းကို ထည့်သွင်းစဉ်းစားပါမည်။

Logstash ဖွဲ့စည်းမှုပုံစံအတွက် လုပ်ဆောင်ချက်အစီအစဉ်တစ်ခု ရေးဆွဲကြပါစို့။

1. အဆိုပါ elasticsearch ကိုစစ်ဆေးခြင်းသည်မှတ်တမ်းများကိုလက်ခံလိမ့်မည် (ဆိပ်ကမ်း၏လုပ်ဆောင်နိုင်စွမ်းနှင့်ပွင့်လင်းမှုကိုစစ်ဆေးခြင်း) ။
2. ကျွန်ုပ်တို့သည် Logstash သို့ အဖြစ်အပျက်များကို မည်သို့ပေးပို့နိုင်သည်၊ နည်းလမ်းတစ်ခုကို ရွေးချယ်ပြီး ၎င်းကို အကောင်အထည်ဖော်နိုင်ပုံကို ကျွန်ုပ်တို့ စဉ်းစားပါသည်။
3. ကျွန်ုပ်တို့သည် Logstash configuration file တွင် Input ကို configure လုပ်ပါသည်။
4. မှတ်တမ်းမက်ဆေ့ဂျ်ပုံသဏ္ဌာန်ကို နားလည်ရန်အတွက် အမှားရှာမုဒ်တွင် Logstash configuration ဖိုင်တွင် Output ကို configure လုပ်ပါသည်။
5. Filter စနစ်ထည့်သွင်းခြင်း။
6. ElasticSearch တွင် မှန်ကန်သော Output ကို စနစ်ထည့်သွင်းခြင်း။
7. Logstash လွှင့်တင်သည်။
8. Kibana ရှိ မှတ်တမ်းများကို စစ်ဆေးခြင်း။

အချက်တစ်ခုချင်းစီကို အသေးစိတ်ကြည့်ရှုကြပါစို့။

အဆိုပါ elasticsearch ကိုစစ်ဆေးခြင်းသည်မှတ်တမ်းများကိုလက်ခံလိမ့်မည်။

၎င်းကိုလုပ်ဆောင်ရန်၊ Logstash ကိုအသုံးပြုထားသည့်စနစ်မှ Elasticsearch သို့ဝင်ရောက်ခွင့်ကိုစစ်ဆေးရန် curl command ကိုသုံးနိုင်သည်။ အကယ်၍ သင့်တွင် စစ်မှန်ကြောင်း အထောက်အထား ပြင်ဆင်ပြီးပါက၊ သင် မပြောင်းလဲပါက port 9200 ကို သတ်မှတ်ခြင်းဖြင့် အသုံးပြုသူ/စကားဝှက်ကို curl မှတဆင့် လွှဲပြောင်းပေးပါသည်။ အောက်ဖော်ပြပါပုံနှင့် ဆင်တူသော တုံ့ပြန်မှုတစ်ခုကို လက်ခံရရှိပါက၊ အားလုံးသည် အစဉ်လိုက်ဖြစ်နေပါသည်။

[elastic@elasticsearch ~]$ curl -u <<user_name>> : <<password>> -sS -XGET "<<ip_address_elasticsearch>>:9200"
{
  "name" : "elastic-1",
  "cluster_name" : "project",
  "cluster_uuid" : "sQzjTTuCR8q4ZO6DrEis0A",
  "version" : {
    "number" : "7.4.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "fc0eeb6e2c25915d63d871d344e3d0b45ea0ea1e",
    "build_date" : "2019-10-22T17:16:35.176724Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
[elastic@elasticsearch ~]$

တုံ့ပြန်မှုမရပါက၊ အမှားအယွင်းများစွာရှိနိုင်သည်- elasticsearch လုပ်ငန်းစဉ်သည် အလုပ်မလုပ်ပါ၊ မှားယွင်းသော ပို့တ်ကို သတ်မှတ်ထားခြင်း သို့မဟုတ် elasticsearch ထည့်သွင်းထားသည့် ဆာဗာရှိ firewall မှ ဆိပ်ကမ်းကို ပိတ်ဆို့ထားသည်။

check point firewall မှ Logstash သို့ မှတ်တမ်းများ မည်သို့ပေးပို့နိုင်သည်ကို ကြည့်ကြပါစို့

Check Point စီမံခန့်ခွဲမှုဆာဗာမှ log_exporter utility ကို အသုံးပြု၍ syslog မှတဆင့် Logstash သို့ မှတ်တမ်းများ ပေးပို့နိုင်သည်၊ ၎င်းအကြောင်းကို ဤနေရာတွင် ဖတ်ရှုနိုင်ပါသည်။ ဆောင်းပါးဤနေရာတွင် ကျွန်ုပ်တို့သည် stream ကိုဖန်တီးသည့် command ကိုသာချန်ထားပါမည်။

cp_log_export အမည် check_point_syslog ပစ်မှတ်-ဆာဗာ < > ပစ်မှတ်-ပို့တ် 5555 ပရိုတိုကော tcp ဖော်မတ် ယေဘူယျဖတ်မုဒ် တစ်ပိုင်းတစ်ပိုင်း တစ်စုတစ်စည်းတည်း

< > - Logstash လည်ပတ်သည့် ဆာဗာလိပ်စာ၊ ပစ်မှတ်-ဆိပ်ကမ်း 5555 - ကျွန်ုပ်တို့ ပေးပို့မည့် မှတ်တမ်းများ ပို့ရမည့် ဆိပ်ကမ်း၊ tcp မှတစ်ဆင့် မှတ်တမ်းများ ပေးပို့ခြင်းသည် ဆာဗာကို တင်ဆောင်နိုင်သည်၊ ထို့ကြောင့် အချို့ကိစ္စများတွင် udp ကို အသုံးပြုခြင်းသည် ပိုမှန်ပါသည်။

Logstash ဖွဲ့စည်းမှုပုံစံဖိုင်တွင် ထည့်သွင်းသတ်မှတ်ခြင်း။

ပုံမှန်အားဖြင့်၊ ဖွဲ့စည်းမှုပုံစံဖိုင်သည် /etc/logstash/conf.d/ လမ်းညွှန်တွင် တည်ရှိသည်။ ဖွဲ့စည်းမှုဖိုင်တွင် အဓိပ္ပါယ်ရှိသော အစိတ်အပိုင်း ၃ ခု ပါဝင်သည်- Input, FILTER, OUTPUT။ IN ထည့်သွင်းမှု စနစ်သည် မည်သည့်နေရာမှ မှတ်တမ်းများယူမည်ကို ကျွန်ုပ်တို့ညွှန်ပြပါသည်။ filter မှတ်တမ်းကိုခွဲခြမ်းစိတ်ဖြာပါ - မက်ဆေ့ချ်ကို အကွက်များနှင့် တန်ဖိုးများအဖြစ် ခွဲနည်းကို သတ်မှတ်ပါ။ OUTPUT ကျွန်ုပ်တို့သည် ခွဲခြမ်းစိတ်ဖြာထားသော မှတ်တမ်းများကို ပေးပို့မည့်နေရာတွင် အထွက်စီးကြောင်းကို စီစဉ်သတ်မှတ်ပါသည်။

ပထမဦးစွာ INPUT ကို configure လုပ်ကြည့်ရအောင်၊ file၊ tcp နှင့် exe အမျိုးအစားအချို့ကို သုံးသပ်ကြည့်ရအောင်။

Tcp-

input {
tcp {
    port => 5555
    host => “10.10.1.205”
    type => "checkpoint"
    mode => "server"
}
}

မုဒ် => "ဆာဗာ"
Logstash သည် ချိတ်ဆက်မှုများကို လက်ခံနေကြောင်း ညွှန်ပြသည်။

port => 5555
အိမ်ရှင် => "10.10.1.205"
ကျွန်ုပ်တို့သည် IP လိပ်စာ 10.10.1.205 (Logstash)၊ ဆိပ်ကမ်း 5555 မှတစ်ဆင့် ချိတ်ဆက်မှုများကို လက်ခံသည် - ဆိပ်ကမ်းကို firewall မူဝါဒဖြင့် ခွင့်ပြုရပါမည်။

အမျိုးအစား => "စစ်ဆေးရေးဂိတ်"
ကျွန်ုပ်တို့သည် စာရွက်စာတမ်းကို အမှတ်အသားပြုသည်၊ သင့်တွင် အဝင်ချိတ်ဆက်မှုများစွာရှိလျှင် အလွန်အဆင်ပြေပါသည်။ နောက်ပိုင်းတွင်၊ ချိတ်ဆက်မှုတစ်ခုစီအတွက် တည်ဆောက်မည်ဆိုပါက logical ကို အသုံးပြု၍ သင့်ကိုယ်ပိုင် filter ကို ရေးသားနိုင်သည်။

ဖိုင်

input {
  file {
    path => "/var/log/openvas_report/*"
    type => "openvas"
    start_position => "beginning"
    }
}

ဆက်တင်များ၏ ဖော်ပြချက်-
လမ်းကြောင်း => "/var/log/openvas_report/*"
ဖိုင်များဖတ်ရန် လိုအပ်သည့် လမ်းညွှန်ကို ကျွန်ုပ်တို့ညွှန်ပြပါသည်။

type => "openvas"
ပွဲအမျိုးအစား။

start_position => "အစ"
ဖိုင်တစ်ခုပြောင်းသောအခါ၊ ၎င်းသည် ဖိုင်တစ်ခုလုံးကိုဖတ်သည်၊ "အဆုံး" ဟုသတ်မှတ်ပါက၊ စနစ်သည် ဖိုင်၏အဆုံးတွင် မှတ်တမ်းအသစ်များပေါ်လာမည်ကို စောင့်မျှော်နေပါသည်။

Exec-

input {
  exec {
    command => "ls -alh"
    interval => 30
  }
}

ဤထည့်သွင်းမှုကို အသုံးပြုခြင်းဖြင့်၊ (သာ!) shell command ကို စတင်ပြီး ၎င်း၏ output ကို log message အဖြစ် ပြောင်းလဲသွားပါသည်။

အမိန့် => "ls -alh"
ကျွန်ုပ်တို့စိတ်ဝင်စားသော output ၏အမိန့်။

ကြားကာလ => 30
စက္ကန့်ပိုင်းအတွင်း အမိန့်တောင်းခံမှုကြားကာလ။

Firewall မှ မှတ်တမ်းများကို လက်ခံရရှိရန်အတွက်၊ ကျွန်ုပ်တို့သည် filter တစ်ခုကို မှတ်ပုံတင်ပါသည်။ tcp သို့မဟုတ် ပူတင်းမှတ်တမ်းများကို Logstash သို့ပေးပို့ပုံပေါ်မူတည်သည်။

မှတ်တမ်းမက်ဆေ့ဂျ်ပုံသဏ္ဌာန်ကို နားလည်စေရန်အတွက် Logstash configuration file တွင် Output ကို ပြင်ဆင်ခြင်း

ကျွန်ုပ်တို့သည် INPUT ကို ပြင်ဆင်သတ်မှတ်ပြီးနောက်၊ မှတ်တမ်းမက်ဆေ့ဂျ်သည် မည်သို့မည်ပုံမည်ပုံနှင့် မည်သည့်နည်းလမ်းများကို အသုံးပြုရမည်ကို သိရှိရန် လိုအပ်ပါသည်။

၎င်းကိုလုပ်ဆောင်ရန်၊ မူရင်းမက်ဆေ့ချ်ကိုကြည့်ရှုရန်အတွက် ရလဒ်ကို stdout သို့ထုတ်ပေးသည့် filter ကိုအသုံးပြုမည်ဖြစ်ပြီး၊ ပြီးပြည့်စုံသော configuration ဖိုင်သည် ယခုအချိန်တွင် ဤကဲ့သို့ဖြစ်နေလိမ့်မည်-

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => “10.10.1.205”
   	 }
}

output 
{
	if [type] == "checkpoint" 
       {
		stdout { codec=> json }
	}
}

စစ်ဆေးရန် command ကိုဖွင့်ပါ
sudo /usr/share/logstash/bin//logstash -f /etc/logstash/conf.d/checkpoint.conf
ရလဒ်ကို ကျွန်ုပ်တို့မြင်ရပြီး၊ ပုံသည် ကလစ်နှိပ်နိုင်သည်-

ကော်ပီကူးထားရင် အောက်ပါအတိုင်း တွေ့ရပါလိမ့်မယ်။

action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,0x5,0xfe0a0a0a,0xc0000000}" origin="10.10.10.254" originsicname="CN=ts-spb-cpgw-01,O=cp-spb-mgmt-01.tssolution.local.kncafb" sequencenum="8" time="1576766483" version="5" context_num="1" dst="10.10.10.10" dst_machine_name="[email protected]" layer_name="TSS-Standard Security" layer_name="TSS-Standard Application" layer_uuid="dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0" layer_uuid="dbee3718-cf2f-4de0-8681-529cb75be9a6" match_id="8" match_id="33554431" parent_rule="0" parent_rule="0" rule_action="Accept" rule_action="Accept" rule_name="Implicit Cleanup" rule_uid="6dc2396f-9644-4546-8f32-95d98a3344e6" product="VPN-1 & FireWall-1" proto="17" s_port="37317" service="53" service_id="domain-udp" src="10.10.1.180" ","type":"qqqqq","host":"10.10.10.250","@version":"1","port":50620}{"@timestamp":"2019-12-19T14:50:12.153Z","message":"time="1576766483" action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,

ဤမက်ဆေ့ချ်များကို ကြည့်ခြင်းအားဖြင့်၊ မှတ်တမ်းများသည် ကွက်လပ် = တန်ဖိုး သို့မဟုတ် သော့ = တန်ဖိုး၊ ဆိုလိုသည်မှာ kv ဟုခေါ်သော စစ်ထုတ်မှုတစ်ခုသည် သင့်လျော်သည်ဟု ကျွန်ုပ်တို့ နားလည်ပါသည်။ သီးခြားကိစ္စတစ်ခုစီအတွက် မှန်ကန်သော filter ကိုရွေးချယ်ရန်အတွက် နည်းပညာဆိုင်ရာစာရွက်စာတမ်းများတွင် ၎င်းတို့နှင့် သင်ကိုယ်တိုင်ရင်းနှီးအောင်ပြုလုပ်ရန် သို့မဟုတ် သူငယ်ချင်းတစ်ဦးကို မေးမြန်းရန် အကြံကောင်းဖြစ်လိမ့်မည်။

Filter စနစ်ထည့်သွင်းခြင်း။

နောက်ဆုံးအဆင့်တွင်၊ ကျွန်ုပ်တို့သည် kv ကိုရွေးချယ်ခဲ့ပြီး၊ ဤ filter ၏ဖွဲ့စည်းပုံကိုအောက်တွင်ဖော်ပြထားသည်-

filter {
if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
}
}

ကျွန်ုပ်တို့သည် အကွက်နှင့် တန်ဖိုးကို ပိုင်းခြားပေးမည့် သင်္ကေတကို ရွေးပါ - “=”။ ကျွန်ုပ်တို့သည် မှတ်တမ်းတွင် တူညီသောထည့်သွင်းမှုများရှိပါက၊ ကျွန်ုပ်တို့သည် ဒေတာဘေ့စ်တွင် သာဓကတစ်ခုသာ သိမ်းဆည်းမည်၊ မဟုတ်ပါက သင်သည် ထပ်တူတန်ဖိုးများ ခင်းကျင်းခြင်းဖြင့် အဆုံးသတ်ရလိမ့်မည်၊ ဆိုလိုသည်မှာ ကျွန်ုပ်တို့တွင် "foo = some foo = some" ဟူသော မက်ဆေ့ချ်ရှိပါက foo ကိုသာ ရေးပါမည်။ = အချို့

ElasticSearch တွင် မှန်ကန်သော Output ကို စနစ်ထည့်သွင်းခြင်း။

Filter ကို ပြင်ဆင်ပြီးသည်နှင့်၊ သင်သည် ဒေတာဘေ့စ်သို့ မှတ်တမ်းများကို အပ်လုဒ်လုပ်နိုင်ပါသည်။ elasticsearch ကိုရှာပါ:

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

စာရွက်စာတမ်းအား စစ်ဆေးရေးဂိတ်အမျိုးအစားဖြင့် လက်မှတ်ရေးထိုးပါက၊ ပုံမှန်အားဖြင့် port 10.10.1.200 ရှိ 9200 တွင် ချိတ်ဆက်မှုများကို လက်ခံသည့် elasticsearch database တွင် အဖြစ်အပျက်ကို သိမ်းဆည်းပါသည်။ စာရွက်စာတမ်းတစ်ခုစီကို သီးခြားအညွှန်းတစ်ခုအဖြစ် သိမ်းဆည်းထားပြီး၊ ဤအခြေအနေတွင် ကျွန်ုပ်တို့သည် အညွှန်း “စစ်ဆေးရေးဂိတ်-” + လက်ရှိအချိန်ရက်စွဲတွင် သိမ်းဆည်းထားသည်။ အညွှန်းတစ်ခုစီတွင် သီးခြားနယ်ပယ်အစုံရှိနိုင်သည် သို့မဟုတ် မက်ဆေ့ခ်ျတစ်ခုတွင် အကွက်အသစ်တစ်ခုပေါ်လာသည့်အခါ အလိုအလျောက်ဖန်တီးပေးသည်၊ အကွက်ဆက်တင်များနှင့် ၎င်းတို့၏အမျိုးအစားကို မြေပုံဆွဲခြင်းများတွင် ကြည့်ရှုနိုင်ပါသည်။

အကယ်၍ သင့်တွင် စစ်မှန်ကြောင်းအတည်ပြုခြင်းအား ပြင်ဆင်ပြီးပါက (နောက်မှကြည့်မည်)၊ တိကျသောအညွှန်းသို့စာရေးခြင်းအတွက် အထောက်အထားများကို သတ်မှတ်ရမည်ဖြစ်ပြီး၊ ဤဥပမာတွင် ၎င်းသည် စကားဝှက် “cool” ဖြင့် "tssolution" ဖြစ်သည်။ မှတ်တမ်းများကို သီးခြားအညွှန်းတစ်ခုအဖြစ်သာ ရေးသားရန် အသုံးပြုသူအခွင့်အရေးကို သင် ခွဲခြားနိုင်ပြီး မရှိတော့ပါ။

Logstash ကိုဖွင့်ပါ။

Logstash ဖွဲ့စည်းမှုပုံစံ ဖိုင်-

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => “10.10.1.205”
   	 }
}

filter {
        if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
        }
}

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

ကျွန်ုပ်တို့သည် ဖွဲ့စည်းမှုဖိုင်ကို မှန်ကန်မှုရှိမရှိ စစ်ဆေးပါ-
/usr/share/logstash/bin//logstash -f checkpoint.conf


Logstash လုပ်ငန်းစဉ်ကို စတင်ပါ။
sudo systemctl logstash ကိုစတင်ပါ

လုပ်ငန်းစဉ်စတင်ကြောင်း ကျွန်ုပ်တို့စစ်ဆေးသည်-
sudo systemctl အခြေအနေ logstash

socket တက်လာသလား စစ်ဆေးကြည့်ရအောင်။
netstat -nat |grep 5555

Kibana ရှိ မှတ်တမ်းများကို စစ်ဆေးခြင်း။

အရာအားလုံးလည်ပတ်ပြီးနောက်၊ Kibana သို့သွားပါ - Discover၊ အရာအားလုံးကိုမှန်ကန်စွာပြင်ဆင်ထားကြောင်းသေချာစေပါ၊ ပုံသည်ကလစ်နှိပ်နိုင်သည်။

မှတ်တမ်းများအားလုံးသည် နေရာယူထားပြီး အကွက်များနှင့် ၎င်းတို့၏တန်ဖိုးများကို ကျွန်ုပ်တို့မြင်နိုင်သည်။

ကောက်ချက်

Logstash ဖွဲ့စည်းမှုပုံစံဖိုင်ကို မည်သို့ရေးရမည်ကို ကျွန်ုပ်တို့ ကြည့်ရှုခဲ့ပြီး ရလဒ်အနေဖြင့် အကွက်များနှင့် တန်ဖိုးများအားလုံး၏ ခွဲခြမ်းစိတ်ဖြာမှုကို ရရှိခဲ့သည်။ ယခု ကျွန်ုပ်တို့သည် သီးခြားနယ်ပယ်များအတွက် ရှာဖွေခြင်းနှင့် ကြံစည်ခြင်းတို့ဖြင့် လုပ်ဆောင်နိုင်ပါပြီ။ နောက်သင်တန်းတွင် ကျွန်ုပ်တို့သည် Kibana ရှိ စိတ်ကူးပုံဖော်ခြင်းအား ကြည့်ရှုပြီး ရိုးရှင်းသော ဒက်ရှ်ဘုတ်တစ်ခုကို ဖန်တီးပါမည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် နယ်ပယ်တစ်ခု၏တန်ဖိုးကို နံပါတ်တစ်ခုမှ စကားလုံးတစ်လုံးသို့ အစားထိုးလိုသည့်အခါ အချို့သောအခြေအနေများတွင် Logstash configuration ဖိုင်ကို အဆက်မပြတ်အပ်ဒိတ်လုပ်ရန် လိုအပ်ကြောင်း မှတ်သားထိုက်ပါသည်။ နောက်ဆောင်းပါးတွေမှာလည်း ဒါကို အဆက်မပြတ်လုပ်ပါမယ်။

ဒါကြောင့် စောင့်ကြည့်ပါ (ကွေးနနျးစာ, Facebook က, VK, TS Solution Blog), Yandex Zen.

source: www.habr.com