Exchange ááŸáá·áº ELK áá»áááºáááºááŒááºážá¡ááœá±á·á¡ááŒá¯á¶ááᯠáá»áŸáá±ááá¯ááá·áº áá±á¬ááºážáá«ážá¡ááœá²ááá¯ááºááᯠá
áááºáá±áá«áááºá á€á¡á
á¯á¡áá±ážááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž áá°áá®áá±ážááẠááŒááºážáááºááá·áº ááá¬áááŒá®ážáá¬ážáá±á¬ ááŸááºáááºážáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠáá°áá®áá±ážáááºááŒá
áºááŒá®ážá áá¯á¶ááŸáẠáá
áºáá¯ááºáááááá¬áá»á¬ážááẠáá»áœááºá¯ááºááá¯á·ááᯠáá°áá®ááẠááŒááºážáááºááá·áº á¡ááœááºá¡á
á¬ážááᯠááœá±ážáá±á¬áá±ááẠáááá¯á¡ááºáá«á áá
áºáá¯á¶ážááá¯ááºáá±áá¬ááºáá²á· áááºážááŸá®ážáá¡á±á¬ááºá
á¡áááºáá»áááºážááœáẠáá»ááºááŒá±á¬ááŸáá±á¬ áá
áºáá¯ááºááá·áºá
áá
ẠááŸááááºá áá°ááŒáá¯ááºá¡áá»á¬ážáá¯á¶áž ááŸááºáááºážáá»á¬ážááŸá¬ á
á¬ááá¯ááºá¡ááœá²á·á¡á
ááºážá¡ááœááºáž áááºáááºááŸááºááŸááºá
á¬áá
áºá
á±á¬ááºá á¡ááá·áºááá·áºááŒááºáááºážááŸá¯ááᯠááŒá±áá¬áá¶ááá·áº ááŸááºáááºážáá»á¬ážááŒá
áºáááºá á
áá
áºááŸá áá¯á¶ážá
áœá²áá°á¡áá
áºáá
áºáá¯á
á®ááᯠááŒá±áá¬áá¶ááá·áº áááºáá¬áá¬ááŸááºáááºážáá»á¬ážá á¡ááá¯ááºážá¡áá±ážá
áááºááœá²ááŒá¬ážááá·áº áá®ááá®á¡áá»áá¯ážáá»áá¯ážááŸáááá·áº áá®ážááŒá¬ážáááºá¡ááºááºáá®áá±ážááŸááºážáá»á¬ážá ááŸááºáááºážáá»á¬ážá Exchange ááẠsmtpá imap ááŸáá·áº pop3 áááá¯ááá¯áá±á¬áá»á¬ážá áá¯ááºááŒááºážááŸááºáááºážáá»á¬ážááᯠááááºážáááºážááá¯ááºáááºá
ááŸááºáááºážáá»á¬ážááŸáá·áº á¡áá¯ááºáá¯ááºááẠáá»áœááºá¯ááºááá¯á· á¡áááºáááááá¬áá»á¬ážááᯠáá¯á¶ážááá¯ááºááááºážá
- áá¯á¶ááŸáẠcmdlet Get-MessageTrackingLog- ááŒá±áá¬áá¶ááŒááºážááŸááºáááºážáá»á¬ážááᯠá¡áááºááŒá±á áœá¬ áá¯ááºáá±á¬ááºáá«á
- logparser utility- ááŸááºáááºážá¡ááœááºá pseudo-SQL ááŸá¬ááœá±áá±ážáá¬áá¬á áá¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž áá»áŸááºááŒááºá áœá¬ á¡áá¯ááºáá¯ááºáá«áááºá
- ááŒááºá SQL áá¬áá¬- á¡ááœááºáááá»áá±á¬ ááá á¹á áá»á¬ážá¡ááœáẠ(á¥ááá¬á á¡áá»áááºááŒá¬ááŒáá·áºá áœá¬ áá±áá¬ááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááŒááºáž)á
áá»áœááºá¯ááºááá¯á·ááœáẠáá¬áᬠááŸá áºáá¯ááŸáááŒá®áž áá¯ááºáá±á¬ááºááŒá®ážáá±á¬ ááŸááºáááºážáá»á¬ážá ááá¬áááᯠáááºááááºáž ááá¯á·ááá¯áẠáá¬ááŸáá·áºáá»á®áá±á¬ áá áºáá«ááá¯ááºááŒáá·áº ááá¯ááºážáá¬áá±á¬á¡áá« á€á¡áá¬á¡á¬ážáá¯á¶áž áá±á¬ááºážá áœá¬ á¡áá¯ááºáá¯ááºáá«áááºá áá«áá±ááá·áº áá¬áá¬á¡áá±á¡ááœááºáᬠáá«áááºáá²á·áá»á®ááŒá®áž ááŸááºáááºážááœá±áá²á· á¡ááœááºá¡á á¬ážáᬠterabyte ááẠáá»á±á¬áºááœááºááœá¬ážáááºáá±á¬á á€á¡á á®á¡á á¥áºááẠááŒáá¯áá»ááºááœá¬ážááœááºááŸááááºá
á€áááºááŸá¬ á¡áááºá¡áá¬ááŒá áºááááºáž- Get-MessageTrackingLog ááẠá¡áá»áááºáá¯ááºááœá¬ážáááºá logparser ááẠ32-bit áááá¯áá¬ááá»ááºááŸá¬áá»ááºááá¯ááááœá¬ážááŒá®áž áááºáá±á¬ááºááŸá¯á០ááá¯ááºážáá±á«ááºážá á¯á¶ááŒáœááºážáá»ááºá¡á¬áž áá»á±áá»ááºááŒááºážáááŒá¯áá² SQL server ááá¯á· á¡ááºáá¯ááºáááºááŒááºážááẠá¡ááá·áºáááá·áºáá¯á¶ážá¡áá»áááºááœáẠáá»ááºááœá¬ážáá«áááºá
á€ááœáẠáá á¬ážááá¬ážáá áºáá áºáŠážááẠá¡áááºážá¡áá»ááºážáá²ááá¯á· áááºáá±á¬ááºáá¬ááẠ- ááá¬áááŒá®ážáá¬ážáá±á¬ ááŸááºáááºážáá»á¬ážááᯠáá»áá¯ážááŒá±á¬ááºážáá®áá»á±á¬áºá áœá¬ á¡áá»áááºá¡ááá¯ááºážá¡áá¬áá áºáá¯á¡ááœááºážááŸáá·áº áááºážáá¶ááá¯ááºáá±á¬ááºáá±á¬ á¡áááºážá¡ááŒá áºáá¯á¶ážá áœá²ááŸá¯ááŸáá·áºá¡áá° á¡áá°ážáá®ááá¯ááºážááŒá¯áá¯ááºáá¬ážááá·áº ELK stacká
áááááá¯ááºáž ááŸá¬ á¡áá±ážá áááºááŒá±á¬ááŒááẠELK stack ááá áºá áááºáá áºááá¯ááºážááŒá áºáá±á¬ filebeat áá»áááºáááºáááºáž â ááá°áá®áá±á¬ á¡ááá®áá±ážááŸááºážáá»á¬ážá áááºážááá¯á·á ááŸááºáááºážáá»á¬ážááᯠáá±ážáá¬ážááá·áº ááá¯ážááŸááºážáá±á¬ á á¬áá¬ážááá¯ááºáá»á¬ážááᯠáááºááŒááºážááŸáá·áº áá±ážááá¯á·ááŒááºážá¡ááœáẠáá¬áááºááŸááááºá á¡á±á¬ááºáá«áá±á¬ááºážáá«ážáá»á¬ážááœáẠáá»áœááºá¯ááºááá¯á·ááẠLogstash ááŸáá·áº Kibana á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠá¡áá®ážáááºááŒáá·áºááŸá¯áá«áááºá
ustanovka
áá®áá±á¬á· filebeat á¡á±ážáá»áá·áº archive ááá¯áẠ.
áá
áºááá¯ááºáá«ááŸááá±á¬ á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŒááºáá¯á¶ááŒáá·áº áááºáááºááŸá¯ááᯠá¡ááŒá®ážáááºáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá c:Program Filesfilebeat. ááá¯á·áá±á¬áẠáááºááẠPowerShell script ááᯠrun áááºááá¯á¡ááºáááºá install-service-filebeat.ps1filebeat áááºáá±á¬ááºááŸá¯ááá¯ááá·áºááœááºážááẠkit ááŸáá·áºáá«ááŸááááºá
ááᯠáá»áœááºá¯ááºááá¯á·ááẠááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááá¯ááºááᯠá áááºáááºááŸááºááẠá¡áááºááá·áºááŒá áºáá±áá«ááŒá®á
á¡ááŸá¬ážáá¶ááá¯ááºáááº
Filebeat ááẠááŸááºáááºážá á¯áá±á¬ááºážááŒááºážá áá áºááá¯á· ááŸááºáááºážáá»á¬ážáá±ážááá¯á·ááŒááºážá¡á¬áž á¡á¬ááá¶áá«áááºá ááŸááºáááºážááá¯ááºáá»á¬ážááœáẠááá·áºááœááºážááŸá¯á á¬áááºážááᯠááááºážááááºážáá¬ážááŒááºážááŒáá·áº áááºážááᯠá¡á±á¬ááºááŒááºáááºá ááŸááºáááºážááá¯ááºáá»á¬ážá០áááºááŸá¯áá²á·áá±á¬ á¡ááá¯áá«ááŸááºáááºážáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠááááºážáááºážáá¬ážááŒá®áž áŠážáááºáá¬ááá¯á· ááá¯á·áá±á¬ááºááá¯ááºááá·áº áá®ážááŒá¬ážááŸááºáááºážáá»á¬ážááᯠá¡ááŸááºá¡áá¬ážáá±ážáááºá
ááŸááºáááºážáá áºáᯠááá±ážááá¯á·ááá¯ááºáá«áá áááºáá¶á áá áºá០áá±ážááá¯á·ááŸá¯á¡áááºááŒá¯áá»ááºááᯠááááŸáááá»ááºážá ááá¯á·ááá¯áẠáááºáááºááŸá¯áá¯ááºáááºážá ááºá¡ááœááºáž áá°áááºážááŸááºáááºážááá¯ááºááᯠáá»ááºáá áºáááºá¡áá filebeat á áááºážááᯠááŒááºáááºáá±ážááá¯á·ááẠááŒáá¯ážá á¬ážáá«áááºá
áááºáá±á¬ááºááŸá¯ááᯠááŒááºáááºá áááºááá·áºá¡áá«á filebeat ááẠáá±á¬ááºáá¯á¶ážááŸááºáááºážáá»á¬áž áááºááŸá¯ááŒá®áž áá±ážááá¯á·ááŒááºážááá¯ááºáᬠááŸááºáá¯á¶áááºááŒááºážá០á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºáááºááŒá áºááŒá®ážá ááŸááºáááºážááá¯ááºáá»á¬ážááœáẠááŸááºáááºážáá»á¬ážááᯠáááºáá±ážáááºááŒá áºáááºá
áááºážááẠááá·áºá¡á¬áž ááá»áŸá±á¬áºááá·áºáá¬ážáá±á¬ áá»áá¯á·ááœááºážáá»ááºáá»á¬ážááŸáá·áº áá¬áá¬ááŒá¯ááŒááºááááºážááááºážááŸá¯ áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœááºáž elasticlogstash áá¬áá¬áá»á¬ážááá¯á· áá±ážááá¯á·áááºááá¯á¡ááºááá·áº ááŸááºáááºážá¡áá»ááºá¡áááºáá»á¬áž áá¯á¶ážááŸá¯á¶ážááá¯ááºááŒá±ááᯠáá»áŸá±á¬á·áá»ááá¯ááºá á±áá«áááºá
á€á¡ááŒá±á¬ááºážááᯠáááºááá¯ááá¯áá±á·áá¬ááá¯ááºáá«áááºá : Filebeat ááẠááá¯ááºáá»á¬ážáá¡ááŒá±á¡áá±ááᯠáááºááá¯á·ááááºážááááºážáá¬ážááááºáž ááŸáá·áº Filebeat ááẠá¡áááºážáá¯á¶ážáá áºááŒááẠáá±ážááá¯á·ááŒááºážá¡á¬áž áááºááá¯á·áá±áá»á¬á á±ááááºážá
ááá·áºá¡á±á¬ááºáá¯ááºááŒááºáž
ááœá²á·á
ááºážááŸá¯á¡á¬ážáá¯á¶ážááᯠáá±á¬áºáááºááœá²á·á
ááºážááŸá¯ááá¯ááºááœáẠáá¯ááºáá±á¬ááºáááºá ymlá¡ááá¯ááºážáá»á¬ážá
áœá¬ááœá²áá¬ážáááºá Exchange áá¬áá¬áá»á¬ážá០ááŸááºáááºážáá»á¬áž á
á¯áá±á¬ááºážááŒááºáž áá¯ááºáááºážá
ááºááœáẠáá«áááºáá±ááá·áº áááºážááá¯á·áá²á០á¡áá»áá¯á·ááᯠááŒáá·áºááŒáá«á
áá¯á·á
ááŸááºáááºážáá¯ááºáá±á¬ááºááŒááºáž ááááºááá¯á·ááŒááºážá
ááŸááºáááºážáá¯ááºáá±á¬ááºááŒááºáž ááá±á¬ááºááẠá¡ááœááºááŒáá·áº á áááºáááº-
filebeat.inputs:
áá»áœááºá¯ááºááá¯á·ááẠáá¯á¶ááŸááºáááºážá á¯áá±á¬ááºážááŒááºážáááááá¬ááᯠá¡áá¯á¶ážááŒá¯áá«áááº-
- type: log
ááá¯á·áá±á¬ááºá ááŸááºáááºážáá»á¬ážáá«ááŸááá±á¬ ááá¯ááºááœá²ááá¯á· á¡ááŒá±á¡áá±ááᯠ(ááœáá·áºáá¬ážáááº) ááŸáá·áº áááºážááŒá±á¬ááºážááᯠááœáŸááºááŒáá«á á¥ááá¬á¡á¬ážááŒáá·áºá IIS ááŸááºáááºážáá»á¬ážááœááºá áááºáááºáá»á¬ážááẠá¡á±á¬ááºáá«á¡ááá¯ááºáž ááŒá áºááá¯ááºáááº-
enabled: true
paths:
- C:inetpublogsLogFilesW3SVC1*.log
- C:inetpublogsLogFilesW3SVC2*.log
áá±á¬ááºáááºá¡áá±ážááŒá®ážáá±á¬áááºáááºááŸá¬ filebeat ááẠááá¯ááºážáá±á«ááºážá á¯á¶ááŸááºáááºážáá»á¬ážááá¯áááºáá²á·ááá¯á·áááºááá·áºááẠá áá°áááºážá¡á¬ážááŒáá·áºá filebeat ááẠááŸááºáááºážááá¯ááºáá áºáá¯á á á¬ááŒá±á¬ááºážáá áºááŒá±á¬ááºážááᯠáá áºáá¯áááºážá¡ááŒá Ạááá·áºááœááºážá ááºážá á¬ážáááºá áááºáá±á¬ááºááŸá¯á ááŸá¬ážááœááºážáá¯ááºáá±á¬ááºááŸá¯ááŸáá·áº áááºáááºááá·áº áá»áœááºá¯ááºááá¯á·áááŸááºáááºážááœáẠááŒáœááºážáá»ááºáá»á¬ážááᯠá áááºáááºáá¶áááºá¡áá áááºážááẠáá±á¬ááºážááœááºá áœá¬á¡áá¯ááºáá¯ááºáá«áááºá á€ááá á¹á ááœááºá ááŒáœááºážáá»ááºáá»á¬ážááẠá á¬ááŒá±á¬ááºážáá»á¬ážá áœá¬ áá«áááºááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áº filebeat ááẠáá±á¬ááºááá¯ááºážáá áºáá¯áááºá áœá²ááŒáá·áº á¡á ááŒá¯áá«á ááá¯ááºážáá±á«ááºážá á¯á¶ááá·áºááœááºážááŸá¯ááᯠáá áºáá¯á¡ááŒá Ạáá±ááœááºááá«áááºá Exchange ááœáẠááŸááºáááºážáá»á¬áž ááŸááºáááºážáááºááŒááºáž áá±á¬áºáááºááẠá¡á±á¬ááºáá«á¡ááá¯ááºážááŒá áºáááº- ááŸááºáááºážááá¯ááºááŸá á¡áá áºáá áºáá¯á á®ááẠáá±á·á áœá²ááŒáá·áº á áááºáááºá ááœá²á·á ááºážááŸá¯ááœááºá á€á¡ááŒá±á¡áá±ááẠá€áá²á·ááá¯á·ááŒá áºáááº-
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
áááºááá¯á·áá±áá±á¬ááá¯á·á áºááœáẠáááºáá»á¬ážááá·áºááŒááºážááẠá¡áááá¹áá«ááºááŸááá«áááºá á¥ááá¬-
tags: ['IIS', 'ex-srv1']
ááá¯á·á¡ááŒáẠhash á á¬áá¯á¶ážááŒáá·áº á áááºáá¯ááºáá±á¬ááºáá±ááá·áº ááá¯ááºážáá»á¬ážá០áááºáá¯ááºááẠááá±á·áá«ááŸáá·áºá
exclude_lines: ['^#']
ááá¯á·ááŒá±á¬áá·áºá ááŸááºáááºážáááºááŒááºážááá±á¬ááºááẠá€áá²á·ááá¯á·ááŒá áºáá±áááá·áºáááº-
filebeat.inputs:
- type: log
enabled: true
paths:
- C:inetpublogsLogFilesW3SVC1*.log
- C:inetpublogsLogFilesW3SVC2*.log
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
tags: ['IIS', 'ex-srv1']
exclude_lines: ['^#']
ááŸááºáááºážáá±ážááá¯á·ááŒááºážááááºááá¯á·
Filebeat ááẠááŸááºáááºážááá¯ááºááœáẠáá áºáá¯áá»ááºážá á®ááᯠjson á¡áá¬ááá¹áá¯á¡ááŒá Ạáá±ážááá¯á·áááºá áááºážááœáẠááŸááºáááºážá០áá®ážááŒá¬ážááá·áºááœááºážááŸá¯áá áºáá¯ááᯠáááºáá±á·ááºá»á¡ááœááºáá áºáá¯ááœáẠáá«ááŸááááºá áá»áœááºá¯ááºááá¯á·ááẠá€á¡áá»ááºá¡áááºááŸáá·áº áá áºáááºážáááºážááŒáá·áº áá¯ááºáá±á¬ááºááá¯áá«áá á€á¡ááœááºááᯠáá®ážááŒá¬ážáááºáááºáá»á¬ážááá¯á· áŠážá áœá¬ ááá¯ááºážááŒá¬ážááẠááá¯á¡ááºáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá logstash ááœááºáááºážááá¯áá¯ááºáá±á¬ááºááá¯ááºáááºá áá°ááẠfilebeat ááŸááŸááºáááºážáá»á¬ážááá¯áááºáá¶áá°ááŒá áºáááá·áºáááºá á€áááºááŸá¬ filebeat configuration file ááœáẠáááºááá¯á·áááºáá¯á¶ááŸáááá¯ááºáááº-
output.logstash:
hosts: ["logstash1.domain.com:5044"]
áá¬áá¬áá»á¬ážá áœá¬ááŸááá»áŸáẠáááºážááá¯á·á¡ááœáẠáááºáá»ááºáá®ááŸá¯ááᯠáááºááœáá·áºááá¯ááºáááº- ááá¯á·áá±á¬áẠfilebeat ááẠá á¬áááºážáá²á០ááááá¯á¶ážáááŸáááá¯ááºááá·áºáá¬áá¬áá¶ááá¯á· ááŸááºáááºážáá»á¬ážááᯠáá±ážááá¯á·áááºááá¯ááºáá±á¬áºáááºáž áá¬áá¬á¡áá»á¬ážá¡ááŒá¬ážááŒá¬ážááœáẠáá±ážááá¯á·áá¬ážáá±á¬ááŸááºáááºážáá»á¬ážááᯠááŒáá·áºáá±áá±ážáááá·áºáááº-
hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
loadbalance: true
Filebeatá áá±ážááá¯á·áá¬ážáá±á¬ json áá²ááá¯á· ááŸááºáááºážáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá±á¬á¡áá«á áááºáá±á·áá»áºá¡ááœááºááœááºáá«ááŸááá±á¬ ááŸááºáááºážááá·áºááœááºážááŸá¯á¡ááŒááºá elastic ááŒáá·áºá¡áá¯á¶ážáááºáá±á¬ á
á¬ááœááºá
á¬áááºážáá¡ááœááºá¡á
á¬ážá¡áá±á«áºáááºáá±á¬ááºááá·áº áááºáá¬áá±áá¬ááá¬áá¡áá»áá¯á·ááᯠáá±á«ááºážááá·áºáááºá á€áááºáá¬áá±áá¬ááᯠáááºááŒááŸá¯á០ááœá±ážáá»ááºáááºááŸá¬ážááá¯ááºáááºá áááºážááᯠáááá¯áááºáá¬ááᯠá¡áá¯á¶ážááŒá¯á áááá¯áááºáá¬ááááºááá¯á·ááŒááºážááœáẠáá¯ááºáá±á¬ááºáááºá drop_fields. á¥ááá¬á¡á¬ážááŒáá·áºá áááºááẠá¡á±á¬ááºáá«á¡ááœááºáá»á¬ážááᯠáááºáá¯ááºááá¯ááºáááº-
processors:
- drop_fields:
fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]
á¡ááœáŸááºážáá»á¬ážáááºáá±á¬ááºáááºá¡ááœáẠá¡áá»áá¯á·áá±á¬ elastic áááºááŒááºážááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºááŒá®áž áááºáá¯ááºáá¬ážáá±á¬á¡ááœááºáá»á¬ážááœá±ážáá»ááºááŒááºážááᯠááá¯áá áá¯ááºáá»ááºážáááºááá·áºáááºá
ááá¯á·ááŒá±á¬áá·áºá ááŸááºáááºážáá±ážááá¯á·ááŒááºážááá±á¬ááºááẠá€áá²á·ááá¯á·ááŒá áºáá±áááá·áºáááº-
output.logstash:
hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
loadbalance: true
processors:
- drop_fields:
fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]
filebeat ááŸááºáááºážáááºáááºáá»á¬áž
á¡á±á¬ááºáá« ááŸááºáááºážáááºáááºáá»á¬ážááᯠáááºááŸááºááŒááºážááẠá¡áááá¹áá¬ááºááŸááá«áááº-
- ááŸááºáááºážá¡ááá·áº á¡áá»ááºá¡áááºá
- áá»áœááºá¯ááºááá¯á·ááẠdefault á¡áá±ááŒáá·áºáááºááŸááá±á¬ááá¯ááºáá»á¬ážááá¯á·ááŸááºáááºážáá»á¬ážáá±ážááẠ(ááŸááºáááºážáá»á¬ážáááºážááœáŸááºá filebeat áááºáááºááŸá¯áááºážááœáŸááºááœááº)
- ááŸááºáááºážááá¯ááºá¡ááẠ- filebeat;
- áá±á¬ááºáá¯á¶ážááŸááºáááºážááá¯áẠáá áá¯ááᯠááááºážáááºážáá«á
- á¡ááœááºá¡á á¬áž 1MB áá±á¬ááºááœá¬ážáá±á¬á¡áá« á áááºáááºáááºáá«á
áá±á¬ááºáá¯á¶áž loggging configuration block ááẠá€áá²á·ááá¯á·ááŒá áºáá±áááá·áºáááº-
logging.level: info
logging.to_files: true
logging.files:
name: filebeat
keepfiles: 10
rotateeverybytes: 1048576
áá±á¬ááºáá¯á¶ážááœá²á·á ááºážááŸá¯
áá»áœááºá¯ááºááá¯á·ááẠááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááᯠá á¯á ááºážáá¬ážááŒá®áž ááá¯áá¯á¶á á¶á¡ááá¯ááºážááŒá áºáááº-
filebeat.inputs:
- type: log
enabled: true
paths:
- C:inetpublogsLogFilesW3SVC1*.log
- C:inetpublogsLogFilesW3SVC2*.log
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
tags: ['IIS', 'ex-srv1']
exclude_lines: ['^#']
output.logstash:
hosts: ["logstash1.domain.com:5044", "logstash2.domain.com:5044"]
loadbalance: true
processors:
- drop_fields:
fields: ["agent.ephemeral_id", "agent.hostname", "agent.id", "agent.type", "agent.version", "agent", "ecs.version", "ecs", "input.type", "input", "log.offset", "version"]
logging.level: info
logging.to_files: true
logging.files:
name: filebeat
keepfiles: 10
rotateeverybytes: 1048576
configuration file format ááẠyml ááŒá áºááŒá±á¬ááºáž áá¬ážáááºááẠá¡áá±ážááŒá®ážáá«áááºá ááá¯á·ááŒá±á¬áá·áº áá±áá¬ááœááºáá»á¬ážááŸáá·áº á¡áá¯ááºááá¹ááá¬áá»á¬ážááᯠááŸááºáááºá áœá¬áá¬ážááŸáááẠá¡áá±ážááŒá®ážáá«áááºá
Filebeat ááẠconfiguration ááá¯ááºááá¯á á áºáá±ážááá¯ááºááŒá®ážá syntax ááœáẠerror áá»á¬ážáá«áá±áá«áá áááºážááẠáááºááá·áºááá¯ááºážááŸáá·áº line á០syntax ááŸá¬ážááœááºážáá±ááŒá±á¬ááºáž ááœáŸááºááŒáááºááŒá áºáá«áááºá á á áºáá±ážááŸá¯á¡á¬áž á¡á±á¬ááºáá«á¡ááá¯ááºáž áá¯ááºáá±á¬ááºáá«áááºá
.filebeat.exe test config
Filebeat ááẠlog receiver áááœááºáááºáááŸáááá¯ááºááŸá¯ááá¯áááºáž á á áºáá±ážááá¯ááºáááºá á á áºáá±ážááŸá¯ááẠá€áá²á·ááá¯á· á áááºáááº-
.filebeat.exe test output
á¡á±á¬ááºáá±á¬áºááŒáá« á¡ááá¯ááºážáá»á¬ážááœáẠLogstash ááŸáá·áº Kibana á¡á áááºá¡ááá¯ááºážáá»á¬ážááŸáá·áº Exchange á áá»áááºáááºááŸá¯ááŸáá·áº áá»á áºááŒááºáááºážááŸá®ážááŸá¯á¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáá«áááºá
á¡áá¯á¶ážáááºáá±á¬ááá·áºáá»á¬áž
source: www.habr.com
