ကျလန်ုပ်တို့သည် ELK နဟင့် Exchange နဟင့် သူငယ်ချင်သမျာသဖဌစ်သည်။ အပိုင်သ 1

ကျလန်ုပ်တို့သည် ELK နဟင့် Exchange နဟင့် သူငယ်ချင်သမျာသဖဌစ်သည်။ အပိုင်သ 1

Exchange နဟင့် ELK ချိတ်ဆက်ခဌင်သအတလေ့အကဌုံကို မျဟဝေလိုသည့် ဆောင်သပါသအတလဲလိုက်ကို စတင်နေပါသည်။ ကအစုအဝေသသည် ကျလန်ုပ်တို့အာသ ကူညီပေသရန် ငဌင်သဆန်သည့် ပမာဏကဌီသမာသသော မဟတ်တမ်သမျာသကို လုပ်ဆောင်ရန် ကူညီပေသမည်ဖဌစ်ပဌီသ၊ ပုံမဟန် သစ်ခုတ်ကိရိယာမျာသသည် ကျလန်ုပ်တို့ကို ကူညီရန် ငဌင်သဆန်မည့် အရလယ်အစာသကို တလေသတောနေရန် မလိုအပ်ပါ။ သစ်လုံသတိုက်လေယာဉ်နဲ့ ရင်သနဟီသရအောင်။

အိတ်ချိန်သတလင် ကျယ်ပဌောလဟသော သစ်ထုတ်သည့်စနစ် ရဟိသည်။ လူကဌိုက်အမျာသဆုံသ မဟတ်တမ်သမျာသမဟာ စာတိုက်အဖလဲ့အစည်သအတလင်သ သတ်သတ်မဟတ်မဟတ်စာတစ်စောင်၏ အဆင့်ဆင့်ဖဌတ်သန်သမဟုကို ခဌေရာခံသည့် မဟတ်တမ်သမျာသဖဌစ်သည်။ စနစ်ရဟိ သုံသစလဲသူအသစ်တစ်ခုစီကို ခဌေရာခံသည့် ဝဘ်ဆာဗာမဟတ်တမ်သမျာသ၊ အပိုင်သအသေသစိတ်ကလဲပဌာသသည့် ဒီဂရီအမျိုသမျိုသရဟိသည့် သီသခဌာသဝဘ်အက်ပ်လီကေသရဟင်သမျာသ၏ မဟတ်တမ်သမျာသ။ Exchange သည် smtp၊ imap နဟင့် pop3 ပရိုတိုကောမျာသ၏ ကုန်ကဌမ်သမဟတ်တမ်သမျာသကို သိမ်သဆည်သနိုင်သည်။

မဟတ်တမ်သမျာသနဟင့် အလုပ်လုပ်ရန် ကျလန်ုပ်တို့ အဘယ်ကိရိယာမျာသကို သုံသနိုင်သနည်သ။

  • ပုံမဟန် cmdlet Get-MessageTrackingLog- ခဌေရာခံခဌင်သမဟတ်တမ်သမျာသကို အဆင်ပဌေစလာ လုပ်ဆောင်ပါ။
  • logparser utility- မဟတ်တမ်သအတလက်၊ pseudo-SQL ရဟာဖလေရေသဘာသာစကာသကို အသုံသပဌုပဌီသ လျဟင်မဌန်စလာ အလုပ်လုပ်ပါသည်။
  • ပဌင်ပ SQL ဆာဗာ- အလလန်တိကျသော ကိစ္စမျာသအတလက် (ဥပမာ၊ အချိန်ကဌာမဌင့်စလာ ဒေတာကို ပိုင်သခဌာသစိတ်ဖဌာခဌင်သ)။

ကျလန်ုပ်တို့တလင် ဆာဗာ နဟစ်ခုရဟိပဌီသ လုပ်ဆောင်ပဌီသသော မဟတ်တမ်သမျာသ၏ ပမာဏကို ဆယ်ဂဏန်သ သို့မဟုတ် ရာနဟင့်ချီသော ဂစ်ဂါဘိုက်ဖဌင့် တိုင်သတာသောအခါ ကအရာအာသလုံသ ကောင်သစလာ အလုပ်လုပ်ပါသည်။ ဒါပေမယ့် ဆာဗာအရေအတလက်ဟာ ဒါဇင်နဲ့ချီပဌီသ မဟတ်တမ်သတလေရဲ့ အရလယ်အစာသဟာ terabyte ထက် ကျော်လလန်သလာသရင်ကော။ ကအစီအစဥ်သည် ပဌိုပျက်သလာသဖလယ်ရဟိသည်။

ကသည်မဟာ အဘယ်အရာဖဌစ်သနည်သ- Get-MessageTrackingLog သည် အချိန်ကုန်သလာသသည်၊ logparser သည် 32-bit ဗိသုကာ၏မျက်နဟာကျက်ကိုထိသလာသပဌီသ ဝန်ဆောင်မဟုမဟ လိုင်သပေါင်သစုံခဌလင်သချက်အာသ ချေဖျက်ခဌင်သမပဌုဘဲ SQL server သို့ အပ်လုဒ်တင်ခဌင်သသည် အခန့်မသင့်ဆုံသအချိန်တလင် ပျက်သလာသပါသည်။

ကတလင် ကစာသသမာသသစ်တစ်ညသသည် အခင်သအကျင်သထဲသို့ ဝင်ရောက်လာသည် - ပမာဏကဌီသမာသသော မဟတ်တမ်သမျာသကို ကျိုသကဌောင်သဆီလျော်စလာ အချိန်အတိုင်သအတာတစ်ခုအတလင်သနဟင့် သည်သခံနိုင်လောက်သော အရင်သအမဌစ်သုံသစလဲမဟုနဟင့်အတူ အထူသဒီဇိုင်သပဌုလုပ်ထာသသည့် ELK stack။

ပထမပိုင်သ မဟာ အသေသစိတ်ပဌောပဌမယ် ELK stack ၏တစ်စိတ်တစ်ပိုင်သဖဌစ်သော filebeat ချိတ်ဆက်နည်သ — မတူညီသော အပလီကေသရဟင်သမျာသက ၎င်သတို့၏ မဟတ်တမ်သမျာသကို ရေသသာသသည့် ရိုသရဟင်သသော စာသာသဖိုင်မျာသကို ဖတ်ခဌင်သနဟင့် ပေသပို့ခဌင်သအတလက် တာဝန်ရဟိသည်။ အောက်ပါဆောင်သပါသမျာသတလင် ကျလန်ုပ်တို့သည် Logstash နဟင့် Kibana အစိတ်အပိုင်သမျာသကို အနီသကပ်ကဌည့်ရဟုပါမည်။

ustanovka

ဒီတော့ filebeat အေသဂျင့် archive ဖိုင် ကဆိုဒ်မဟဒေါင်သလုဒ်လုပ်နိုင်ပါသည်။.

ဇစ်ဖိုင်ပါရဟိသော အကဌောင်သအရာမျာသကို ဖဌည်ရုံဖဌင့် တပ်ဆင်မဟုကို အပဌီသသတ်ပါမည်။ ဥပမာအာသဖဌင့်၊ c:Program Filesfilebeat. ထို့နောက် သင်သည် PowerShell script ကို run ရန်လိုအပ်သည်။ install-service-filebeat.ps1filebeat ဝန်ဆောင်မဟုကိုထည့်သလင်သရန် kit နဟင့်ပါရဟိသည်။

ယခု ကျလန်ုပ်တို့သည် ဖလဲ့စည်သမဟုပုံစံဖိုင်ကို စတင်သတ်မဟတ်ရန် အဆင်သင့်ဖဌစ်နေပါပဌီ။

အမဟာသခံနိုင်ရည်

Filebeat သည် မဟတ်တမ်သစုဆောင်သခဌင်သစနစ်သို့ မဟတ်တမ်သမျာသပေသပို့ခဌင်သအာသ အာမခံပါသည်။ မဟတ်တမ်သဖိုင်မျာသတလင် ထည့်သလင်သမဟုစာရင်သကို ထိန်သသိမ်သထာသခဌင်သဖဌင့် ၎င်သကို အောင်မဌင်သည်။ မဟတ်တမ်သဖိုင်မျာသမဟ ဖတ်ရဟုခဲ့သော အဆိုပါမဟတ်တမ်သမျာသအကဌောင်သ အချက်အလက်မျာသကို သိမ်သဆည်သထာသပဌီသ ညသတည်ရာသို့ ပို့ဆောင်နိုင်သည့် သီသခဌာသမဟတ်တမ်သမျာသကို အမဟတ်အသာသပေသသည်။

မဟတ်တမ်သတစ်ခု မပေသပို့နိုင်ပါက၊ လက်ခံစနစ်မဟ ပေသပို့မဟုအတည်ပဌုချက်ကို မရရဟိမချင်သ၊ သို့မဟုတ် လည်ပတ်မဟုလုပ်ငန်သစဉ်အတလင်သ မူရင်သမဟတ်တမ်သဖိုင်ကို ဖျက်ပစ်သည်အထိ filebeat က ၎င်သကို ပဌန်လည်ပေသပို့ရန် ကဌိုသစာသပါမည်။

ဝန်ဆောင်မဟုကို ပဌန်လည်စတင်သည့်အခါ၊ filebeat သည် နောက်ဆုံသမဟတ်တမ်သမျာသ ဖတ်ရဟုပဌီသ ပေသပို့ခဌင်သဆိုင်ရာ မဟတ်ပုံတင်ခဌင်သမဟ အချက်အလက်မျာသကို ဖတ်မည်ဖဌစ်ပဌီသ၊ မဟတ်တမ်သဖိုင်မျာသတလင် မဟတ်တမ်သမျာသကို ဖတ်ပေသမည်ဖဌစ်သည်။

၎င်သသည် သင့်အာသ မမျဟော်လင့်ထာသသော ချို့ယလင်သချက်မျာသနဟင့် ဆာဗာပဌုပဌင်ထိန်သသိမ်သမဟု လုပ်ဆောင်မဟုမျာသအတလင်သ elasticlogstash ဆာဗာမျာသသို့ ပေသပို့ရန်လိုအပ်သည့် မဟတ်တမ်သအချက်အလက်မျာသ ဆုံသရဟုံသနိုင်ခဌေကို လျဟော့ချနိုင်စေပါသည်။

ကအကဌောင်သကို သင်ပိုမိုလေ့လာနိုင်ပါသည်။ စာပိုဒ်မျာသတလင် စာရလက်စာတမ်သကို ဖတ်ပါ။: Filebeat သည် ဖိုင်မျာသ၏အခဌေအနေကို မည်သို့ထိန်သသိမ်သထာသသနည်သ နဟင့် Filebeat သည် အနည်သဆုံသတစ်ကဌိမ် ပေသပို့ခဌင်သအာသ မည်သို့သေချာစေသနည်သ။

သင့်အောင်လုပ်ခဌင်သ

ဖလဲ့စည်သမဟုအာသလုံသကို ဖော်မတ်ဖလဲ့စည်သမဟုဖိုင်တလင် လုပ်ဆောင်သည်။ ymlအပိုင်သမျာသစလာခလဲထာသသည်။ Exchange ဆာဗာမျာသမဟ မဟတ်တမ်သမျာသ စုဆောင်သခဌင်သ လုပ်ငန်သစဉ်တလင် ပါဝင်နေသည့် ၎င်သတို့ထဲမဟ အချို့ကို ကဌည့်ကဌပါစို့။

မဟတ်တမ်သလုပ်ဆောင်ခဌင်သ ပိတ်ဆို့ခဌင်သ။

မဟတ်တမ်သလုပ်ဆောင်ခဌင်သ ဘလောက်သည် အကလက်ဖဌင့် စတင်သည်-

filebeat.inputs:

ကျလန်ုပ်တို့သည် ဘုံမဟတ်တမ်သစုဆောင်သခဌင်သကိရိယာကို အသုံသပဌုပါမည်-

- type: log

ထို့နောက်၊ မဟတ်တမ်သမျာသပါရဟိသော ဖိုင်တလဲသို့ အခဌေအနေကို (ဖလင့်ထာသသည်) နဟင့် လမ်သကဌောင်သကို ညလဟန်ပဌပါ။ ဥပမာအာသဖဌင့်၊ IIS မဟတ်တမ်သမျာသတလင်၊ ဆက်တင်မျာသသည် အောက်ပါအတိုင်သ ဖဌစ်နိုင်သည်-

    enabled: true
    paths:
	- C:inetpublogsLogFilesW3SVC1*.log
	- C:inetpublogsLogFilesW3SVC2*.log

နောက်ထပ်အရေသကဌီသသောဆက်တင်မဟာ filebeat သည် လိုင်သပေါင်သစုံမဟတ်တမ်သမျာသကိုမည်ကဲ့သို့ဖတ်သင့်သည် ။ မူရင်သအာသဖဌင့်၊ filebeat သည် မဟတ်တမ်သဖိုင်တစ်ခု၏ စာကဌောင်သတစ်ကဌောင်သကို တစ်ခုတည်သအဖဌစ် ထည့်သလင်သစဉ်သစာသသည်။ ဝန်ဆောင်မဟု၏ မဟာသယလင်သလုပ်ဆောင်မဟုနဟင့် ပတ်သက်သည့် ကျလန်ုပ်တို့၏မဟတ်တမ်သတလင် ခဌလင်သချက်မျာသကို စတင်လက်ခံသည်အထိ ၎င်သသည် ကောင်သမလန်စလာအလုပ်လုပ်ပါသည်။ ကကိစ္စတလင်၊ ခဌလင်သချက်မျာသသည် စာကဌောင်သမျာသစလာ ပါဝင်နိုင်သည်။ ထို့ကဌောင့် filebeat သည် နောက်လိုင်သတစ်ခုရက်စလဲဖဌင့် အစပဌုပါက လိုင်သပေါင်သစုံထည့်သလင်သမဟုကို တစ်ခုအဖဌစ် ရေတလက်ရပါမည်။ Exchange တလင် မဟတ်တမ်သမျာသ မဟတ်တမ်သတင်ခဌင်သ ဖော်မတ်သည် အောက်ပါအတိုင်သဖဌစ်သည်- မဟတ်တမ်သဖိုင်ရဟိ အသစ်တစ်ခုစီသည် နေ့စလဲဖဌင့် စတင်သည်။ ဖလဲ့စည်သမဟုတလင်၊ ကအခဌေအနေသည် ကကဲ့သို့ဖဌစ်သည်-

multiline:
	pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
	negate: true
	match: after

သင်ပို့နေသောပို့စ်တလင် တဂ်မျာသထည့်ခဌင်သသည် အဓိပ္ပါယ်ရဟိပါသည်၊ ဥပမာ-

  tags: ['IIS', 'ex-srv1']

ထို့အပဌင် hash စာလုံသဖဌင့် စတင်လုပ်ဆောင်နေသည့် လိုင်သမျာသမဟ ဖယ်ထုတ်ရန် မမေ့ပါနဟင့်။

  exclude_lines: ['^#']

ထို့ကဌောင့်၊ မဟတ်တမ်သဖတ်ခဌင်သဘလောက်သည် ကကဲ့သို့ဖဌစ်နေလိမ့်မည်-

filebeat.inputs:
- type: log
  enabled: true
  paths:
	- C:inetpublogsLogFilesW3SVC1*.log
	- C:inetpublogsLogFilesW3SVC2*.log
  multiline:
	pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
	negate: true
	match: after
  tags: ['IIS', 'ex-srv1']
  exclude_lines: ['^#']

မဟတ်တမ်သပေသပို့ခဌင်သပိတ်ဆို့

Filebeat သည် မဟတ်တမ်သဖိုင်တလင် တစ်ခုချင်သစီကို json အရာဝတ္ထုအဖဌစ် ပေသပို့သည်၊ ၎င်သတလင် မဟတ်တမ်သမဟ သီသခဌာသထည့်သလင်သမဟုတစ်ခုကို မက်ဆေ့ခ်ျအကလက်တစ်ခုတလင် ပါရဟိသည်။ ကျလန်ုပ်တို့သည် ကအချက်အလက်နဟင့် တစ်နည်သနည်သဖဌင့် လုပ်ဆောင်လိုပါက၊ ကအကလက်ကို သီသခဌာသနယ်ပယ်မျာသသို့ ညသစလာ ပိုင်သခဌာသရန် လိုအပ်ပါသည်။ ဥပမာအာသဖဌင့်၊ logstash တလင်၎င်သကိုလုပ်ဆောင်နိုင်သည်။ သူသည် filebeat မဟမဟတ်တမ်သမျာသကိုလက်ခံသူဖဌစ်လိမ့်မည်။ ကသည်မဟာ filebeat configuration file တလင် မည်သို့မည်ပုံရဟိနိုင်သည်-

output.logstash:
  hosts: ["logstash1.domain.com:5044"]

ဆာဗာမျာသစလာရဟိလျဟင် ၎င်သတို့အတလက် ဟန်ချက်ညီမဟုကို သင်ဖလင့်နိုင်သည်- ထို့နောက် filebeat သည် စာရင်သထဲမဟ ပထမဆုံသရရဟိနိုင်သည့်ဆာဗာထံသို့ မဟတ်တမ်သမျာသကို ပေသပို့မည်မဟုတ်သော်လည်သ ဆာဗာအမျာသအပဌာသကဌာသတလင် ပေသပို့ထာသသောမဟတ်တမ်သမျာသကို ဖဌန့်ဝေပေသလိမ့်မည်-

hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
  loadbalance: true 

Filebeat၊ ပေသပို့ထာသသော json ထဲသို့ မဟတ်တမ်သမျာသကို လုပ်ဆောင်သောအခါ၊ မက်ဆေ့ချ်အကလက်တလင်ပါရဟိသော မဟတ်တမ်သထည့်သလင်သမဟုအပဌင်၊ elastic ဖဌင့်အဆုံသသတ်သော စာရလက်စာတမ်သ၏အရလယ်အစာသအပေါ်သက်ရောက်သည့် မက်တာဒေတာပမာဏအချို့ကို ပေါင်သထည့်သည်။ ကမက်တာဒေတာကို တင်ပဌမဟုမဟ ရလေသချယ်ဖယ်ရဟာသနိုင်သည်။ ၎င်သကို ပရိုဆက်ဆာကို အသုံသပဌု၍ ပရိုဆက်ဆာပိတ်ဆို့ခဌင်သတလင် လုပ်ဆောင်သည်။ drop_fields. ဥပမာအာသဖဌင့်၊ သင်သည် အောက်ပါအကလက်မျာသကို ဖယ်ထုတ်နိုင်သည်-

processors:
- drop_fields:
	fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]

အညလဟန်သမျာသတည်ဆောက်ရန်အတလက် အချို့သော elastic ဘက်ခဌမ်သတလင် အသုံသပဌုနိုင်ပဌီသ ဖယ်ထုတ်ထာသသောအကလက်မျာသရလေသချယ်ခဌင်သကို ဂရုတစိုက်ချဉ်သကပ်သင့်သည်။

ထို့ကဌောင့်၊ မဟတ်တမ်သပေသပို့ခဌင်သဘလောက်သည် ကကဲ့သို့ဖဌစ်နေလိမ့်မည်-

output.logstash:
  hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
  loadbalance: true
 
processors:
- drop_fields:
	fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]

filebeat မဟတ်တမ်သဆက်တင်မျာသ

အောက်ပါ မဟတ်တမ်သဆက်တင်မျာသကို သတ်မဟတ်ခဌင်သသည် အဓိပ္ပာယ်ရဟိပါသည်-

  • မဟတ်တမ်သအဆင့် အချက်အလက်၊
  • ကျလန်ုပ်တို့သည် default အနေဖဌင့်တည်ရဟိသောဖိုင်မျာသသို့မဟတ်တမ်သမျာသရေသသည် (မဟတ်တမ်သမျာသလမ်သညလဟန်၊ filebeat တပ်ဆင်မဟုလမ်သညလဟန်တလင်)
  • မဟတ်တမ်သဖိုင်အမည် - filebeat;
  • နောက်ဆုံသမဟတ်တမ်သဖိုင် ၁၀ ခုကို သိမ်သဆည်သပါ။
  • အရလယ်အစာသ 1MB ရောက်သလာသသောအခါ စတင်လည်ပတ်ပါ။

နောက်ဆုံသ loggging configuration block သည် ကကဲ့သို့ဖဌစ်နေလိမ့်မည်-

logging.level: info
logging.to_files: true
logging.files:
  name: filebeat
  keepfiles: 10
  rotateeverybytes: 1048576

နောက်ဆုံသဖလဲ့စည်သမဟု

ကျလန်ုပ်တို့သည် ဖလဲ့စည်သမဟုပုံစံကို စုစည်သထာသပဌီသ ယခုပုံစံအတိုင်သဖဌစ်သည်-

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - C:inetpublogsLogFilesW3SVC1*.log
    - C:inetpublogsLogFilesW3SVC2*.log
  multiline:
    pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
    negate: true
    match: after
  tags: ['IIS', 'ex-srv1']
  exclude_lines: ['^#']
 
output.logstash:
  hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
  loadbalance: true
 
processors:
- drop_fields:
    fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]
 
logging.level: info
logging.to_files: true
logging.files:
  name: filebeat
  keepfiles: 10
  rotateeverybytes: 1048576

configuration file format သည် yml ဖဌစ်ကဌောင်သ နာသလည်ရန် အရေသကဌီသပါသည်။ ထို့ကဌောင့် နေရာလလတ်မျာသနဟင့် အနုတ်လက္ခဏာမျာသကို မဟန်ကန်စလာထာသရဟိရန် အရေသကဌီသပါသည်။

Filebeat သည် configuration ဖိုင်ကိုစစ်ဆေသနိုင်ပဌီသ၊ syntax တလင် error မျာသပါနေပါက၊ ၎င်သသည် မည်သည့်လိုင်သနဟင့် line မဟ syntax မဟာသယလင်သနေကဌောင်သ ညလဟန်ပဌမည်ဖဌစ်ပါသည်။ စစ်ဆေသမဟုအာသ အောက်ပါအတိုင်သ လုပ်ဆောင်ပါသည်။

.filebeat.exe test config

Filebeat သည် log receiver ၏ကလန်ရက်ရရဟိနိုင်မဟုကိုလည်သ စစ်ဆေသနိုင်သည်။ စစ်ဆေသမဟုသည် ကကဲ့သို့ စတင်သည်-

.filebeat.exe test output

အောက်ဖော်ပဌပါ အပိုင်သမျာသတလင် Logstash နဟင့် Kibana အစိတ်အပိုင်သမျာသနဟင့် Exchange ၏ ချိတ်ဆက်မဟုနဟင့် ချစ်ကဌည်ရင်သနဟီသမဟုအကဌောင်သ ဆလေသနလေသပါမည်။

အသုံသဝင်သောလင့်မျာသ

source: www.habr.com

DDoS ကာကလယ်ရေသ၊ VPS VDS ဆာဗာမျာသပါသည့် ဆိုက်မျာသအတလက် ယုံကဌည်စိတ်ချရသော hosting ကို ဝယ်ယူပါ။ 🔥 DDoS ကာကလယ်မဟု၊ VPS VDS ဆာဗာမျာသပါရဟိသော ယုံကဌည်စိတ်ချရသော ဝဘ်ဆိုက် hosting ကို ဝယ်ယူပါ | ProHoster