Ein Artikel von Elastic
Einführung
Es kann eine gewaltige Herausforderung sein, die Millionen von Protokollzeilen, die Ihr Unternehmen generiert, zu verstehen. Einerseits bieten diese Protokollzeilen einen Überblick über die Anwendungsleistung, die Serverleistungsmetriken und die Sicherheit. Andererseits kann die Verwaltung und Analyse von Protokollen sehr zeitaufwendig sein, was die Einführung dieser zunehmend notwendigen Dienste behindern kann.
Open-Source-Software wie http://rsyslog.com [rsyslog], Elasticsearch und https://www.elastic.co/products/logstash [ Logstash] bieten die Tools zum Übertragen, Transformieren und Speichern Ihrer Protokolldaten.
In diesem Lernprogramm erfahren Sie, wie Sie einen zentralen rsyslog-Server zum Speichern von Protokolldateien von mehreren Systemen erstellen und diese dann mit Logstash an einen Elasticsearch-Server senden. Von dort aus können Sie entscheiden, wie die Daten am besten analysiert werden sollen.
Tore
In diesem Tutorial erfahren Sie, wie Sie von syslog generierte oder empfangene Protokolle zentralisieren, insbesondere die als http://rsyslog.com [rsyslog] bekannte Variante. Syslog und syslog-basierte Tools wie rsyslog sammeln wichtige Informationen aus dem Kernel und vielen der Programme, die ausgeführt werden, um UNIX-ähnliche Server am Laufen zu halten. Da Syslog ein Standard und nicht nur ein Programm ist, unterstützen viele Softwareprojekte das Senden von Daten an Syslog. Durch die Zentralisierung dieser Daten können Sie die Sicherheit einfacher überwachen, das Anwendungsverhalten überwachen und andere wichtige Serverinformationen verfolgen.
Von einem zentralisierten oder aggregierten rsyslog-Server können Sie die Daten dann an Logstash weiterleiten, das Ihre Protokolldaten weiter analysieren und anreichern kann, bevor Sie sie an Elasticsearch senden.
Die endgültigen Ziele dieses Tutorials sind:
-
Richten Sie einen einzelnen rsyslog-Server für den Client (oder die Weiterleitung) ein
-
Richten Sie einen einzelnen Server (oder Sammelserver) für rsyslog ein, um Protokolle vom rsyslog-Client zu empfangen
-
Richten Sie eine Logstash-Instanz ein, um die Nachrichten vom rsyslog-Erfassungsserver zu empfangen
-
Richten Sie einen Elasticsearch-Server ein, um die Daten von Logstash zu erhalten
Voraussetzungen
Erstellen Sie im * gleichen DigitalOcean-Rechenzentrum * die folgenden Droplets mit * aktiviertem privatem Netzwerk *:
-
Ubuntu 14.04 Droplet mit dem Namen * rsyslog-client *
-
Ubuntu 14.04 Droplet (* 1 GB * oder höher) mit dem Namen * rsyslog-server *, auf dem zentralisierte Protokolle gespeichert und Logstash installiert werden
-
Ubuntu 14.04 Droplet mit Elasticsearch von https://www.digitalocean.com/community/tutorials/installations- und konfigurationsanleitung-elasticsearch-on-ubuntu-14-04[Installation und Konfiguration von Elasticsearch unter Ubuntu 14.04 ]
Sie benötigen für jeden dieser Server auch einen Benutzer ohne Rootberechtigung mit sudo-Berechtigungen. Initial Server Setup with Ubuntu 14.04 erklärt, wie dies eingerichtet wird.
Weitere Informationen zum Aktivieren des privaten Netzwerks finden Sie unter Einrichten und Verwenden von DigitalOcean Private Networking beim Erstellen der Tröpfchen.
Wenn Sie die Droplets ohne privates Netzwerk erstellt haben, lesen Sie How To Enable DigitalOcean Private Networking on Bestehende Tröpfchen.
Schritt 1 - Festlegen der privaten IP-Adressen
In diesem Abschnitt legen Sie fest, welche privaten IP-Adressen den einzelnen Droplets zugewiesen werden. Diese Informationen werden im Tutorial benötigt.
Suchen Sie auf jedem Droplet seine IP-Adressen mit dem Befehl "+ ifconfig +":
sudo ifconfig -aDie Option "+ -a " wird verwendet, um alle Schnittstellen anzuzeigen. Die primäre Ethernet-Schnittstelle heißt normalerweise " eth0 ". In diesem Fall möchten wir jedoch die IP von " eth1 +", der privaten IP-Adresse. Diese privaten IP-Adressen können nicht über das Internet geroutet werden und werden für die Kommunikation in privaten LANs verwendet - in diesem Fall zwischen Servern im selben Rechenzentrum über sekundäre Schnittstellen.
Die Ausgabe sieht ungefähr so aus:
Ausgabe von ifconfig -a
eth0 Link encap:Ethernet HWaddr 04:01:06:a7:6f:01
inet addr:123.456.78.90 Bcast:123.456.78.255 Mask:255.255.255.0
inet6 addr: fe80::601:6ff:fea7:6f01/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:168 errors:0 dropped:0 overruns:0 frame:0
TX packets:137 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:18903 (18.9 KB) TX bytes:15024 (15.0 KB)
eth1 Link encap:Ethernet HWaddr 04:01:06:a7:6f:02
inet addr: Bcast:10.128.255.255 Mask:255.255.0.0
inet6 addr: fe80::601:6ff:fea7:6f02/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:468 (468.0 B) TX bytes:398 (398.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)Der hier zu beachtende Abschnitt ist "+ eth1 " und innerhalb dieses " inet addr +". In diesem Fall lautet die private Netzwerkadresse * 10.128.2.25 *. Auf diese Adresse kann nur von anderen Servern in derselben Region zugegriffen werden, für die das private Netzwerk aktiviert ist.
Stellen Sie sicher, dass Sie diesen Schritt für alle 3 Tropfen wiederholen. Speichern Sie diese privaten IP-Adressen an einem sicheren Ort. Sie werden in diesem Tutorial verwendet.
Schritt 2 - Einstellen der Bindungsadresse für Elasticsearch
Als Teil der Voraussetzungen richten Sie Elasticsearch auf einem eigenen Droplet ein. Das Installieren und Konfigurieren von Elasticsearch unter Ubuntu 14.04 Tutorial zeigt Ihnen, wie dies funktioniert Setzen Sie die Bindungsadresse auf "+ localhost +", damit andere Server nicht auf den Dienst zugreifen können. Wir müssen dies jedoch ändern, damit Logstash Daten über seine private Netzwerkadresse senden kann.
Wir werden Elasticsearch an seine private IP-Adresse binden. * Elasticsearch hört nur Anfragen an diese IP-Adresse ab. *
Bearbeiten Sie auf dem Elasticsearch-Server die Konfigurationsdatei:
sudo nano /etc/elasticsearch/elasticsearch.ymlSuchen Sie die Zeile, die "+ network.bind_host " enthält. Wenn es auskommentiert ist, entfernen Sie das Kommentarzeichen, indem Sie das Zeichen " # +" am Zeilenanfang entfernen. Ändern Sie den Wert in die private IP-Adresse für den Elasticsearch-Server, sodass er folgendermaßen aussieht:
/etc/elasticsearch/elasticsearch.yml
network.bind_host:Starten Sie Elasticsearch abschließend neu, um die Änderung zu aktivieren.
sudo service elasticsearch restartSchritt 3 - Konfigurieren des zentralisierten Servers zum Empfangen von Daten
In diesem Abschnitt konfigurieren wir das Droplet * rsyslog-server * als zentralisierten Server, der Daten von anderen Syslog-Servern an Port 514 empfangen kann.
Um den * rsyslog-Server * so zu konfigurieren, dass er Daten von anderen Syslog-Servern empfängt, bearbeiten Sie die Datei + / etc / rsyslog.conf + auf dem * rsyslog-Server * Droplet:
sudo nano /etc/rsyslog.confFinden Sie diese Zeilen, die bereits in Ihrer + rsyslog.conf + auskommentiert sind:
/etc/rsyslog.conf
# provides UDP syslog reception
# provides TCP syslog receptionDie ersten Zeilen jedes Abschnitts (+ $ ModLoad imudp + und + $ ModLoad imtcp +) laden die Module + imudp + bzw. + imtcp +. Das + imudp + steht für i nput m odule * udp * und das + imtcp + steht für i nput m odule * tcp *. Diese Module warten auf eingehende Daten von anderen Syslog-Servern.
In den zweiten Zeilen jedes Abschnitts ("+ $ UDPSerververRun 514 " und " $ TCPServerRun 514 +") wird angegeben, dass rsyslog die entsprechenden UDP- und TCP-Server für diese Protokolle starten soll, die Port 514 überwachen (dies ist der Syslog-Standardport).
Um diese Module und Server zu aktivieren, kommentieren Sie die Zeilen aus, sodass die Datei jetzt Folgendes enthält:
/etc/rsyslog.conf
# provides UDP syslog reception
# provides TCP syslog receptionSpeichern und schließen Sie die rsyslog-Konfigurationsdatei.
Starten Sie rsyslog neu, indem Sie Folgendes ausführen:
sudo service rsyslog restartIhr zentraler rsyslog-Server ist jetzt so konfiguriert, dass er auf Nachrichten von entfernten syslog-Instanzen (einschließlich rsyslog) wartet.
Schritt 4 - Konfigurieren von rsyslog zum Remote-Senden von Daten
In diesem Abschnitt konfigurieren wir den * rsyslog-client * so, dass er Protokolldaten an das * ryslog-server * Droplet sendet, das wir im letzten Schritt konfiguriert haben.
In einem Standard-Setup von rsyslog unter Ubuntu finden Sie zwei Dateien in + / etc / rsyslog.d +:
-
+ 20-ufw.conf + -
+ 50-default.conf +
Bearbeiten Sie auf dem * rsyslog-client * die Standardkonfigurationsdatei:
sudo nano /etc/rsyslog.d/50-default.confFügen Sie die folgende Zeile am Anfang der Datei vor dem Abschnitt "+ log by facility" ein und ersetzen Sie "++" durch die * private * IP Ihres zentralisierten Servers:
/etc/rsyslog.d/50-default.conf
*.* @:514Speichern und schließen Sie die Datei.
Der erste Teil der Zeile (.) bedeutet, dass wir alle Nachrichten senden möchten. Sie können rsyslog so konfigurieren, dass nur bestimmte Nachrichten gesendet werden. Der Rest der Zeile erklärt, wie die Daten gesendet werden und wohin die Daten gesendet werden. In unserem Fall weist das Symbol "+ @ " vor der IP-Adresse rsyslog an, UDP zum Senden der Nachrichten zu verwenden. Ändern Sie dies in " @@ +", um TCP zu verwenden. Darauf folgt die private IP-Adresse von * rsyslog-server *, auf der rsyslog und Logstash installiert sind. Die Nummer nach dem Doppelpunkt ist die zu verwendende Portnummer.
Starten Sie rsyslog neu, um die Änderungen zu aktivieren:
sudo service rsyslog restartHerzliche Glückwünsche! Sie senden jetzt Ihre Syslog-Nachrichten an einen zentralen Server!
Schritt 5 - Formatieren der Protokolldaten in JSON
Elasticsearch setzt voraus, dass alle empfangenen Dokumente im JSON-Format vorliegen, und rsyslog bietet eine Möglichkeit, dies mithilfe einer Vorlage zu erreichen.
In diesem Schritt konfigurieren wir unseren zentralen rsyslog-Server so, dass die Protokolldaten mithilfe einer JSON-Vorlage formatiert werden, bevor sie an Logstash gesendet werden, das sie dann an Elasticsearch auf einem anderen Server sendet.
Erstellen Sie auf dem * rsyslog-server * -Server eine neue Konfigurationsdatei, um die Nachrichten vor dem Senden an Logstash im JSON-Format zu formatieren:
sudo nano /etc/rsyslog.d/01-json-template.confKopieren Sie den folgenden Inhalt genau wie gezeigt in die Datei:
/etc/rsyslog.d/01-json-template.conf
template(name="json-template"
type="list") {
constant(value="{")
constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339")
constant(value="\",\"@version\":\"1")
constant(value="\",\"message\":\"") property(name="msg" format="json")
constant(value="\",\"sysloghost\":\"") property(name="hostname")
constant(value="\",\"severity\":\"") property(name="syslogseverity-text")
constant(value="\",\"facility\":\"") property(name="syslogfacility-text")
constant(value="\",\"programname\":\"") property(name="programname")
constant(value="\",\"procid\":\"") property(name="procid")
constant(value="\"}\n")
}Beachten Sie, dass die von dieser Vorlage erzeugten Zeilen mit Ausnahme der ersten und letzten ein Komma am Anfang haben. Dies dient dazu, die JSON-Struktur und die Lesbarkeit der Datei zu erhalten, indem alles ordentlich aneinandergereiht wird. Diese Vorlage formatiert Ihre Nachrichten so, wie Elasticsearch und Logstash sie erwarten. So werden sie aussehen:
Beispiel für eine JSON-Nachricht
{
"@timestamp" : "2015-11-18T18:45:00Z",
"@version" : "1",
"message" : "Your syslog message here",
"sysloghost" : "hostname.example.com",
"severity" : "info",
"facility" : "daemon",
"programname" : "my_program",
"procid" : "1234"
}Die gesendeten Daten verwenden dieses Format noch nicht. Der nächste Schritt zeigt, wie Sie den Server für die Verwendung dieser Vorlagendatei konfigurieren.
Schritt 6 - Konfigurieren des zentralisierten Servers zum Senden an Logstash
Nachdem wir nun die Vorlagendatei haben, die das richtige JSON-Format definiert, konfigurieren wir den zentralen rsyslog-Server so, dass die Daten an Logstash gesendet werden, das sich in diesem Lernprogramm auf demselben Droplet befindet.
Beim Start durchsucht rsyslog die Dateien in + / etc / rsyslog.d + und erstellt daraus seine Konfiguration. Fügen wir unsere eigene Konfigurationsdatei hinzu, um die Konfiguration zu erweitern.
Erstellen Sie auf dem * rsyslog-Server * + / etc / rsyslog.d / 60-output.conf +:
sudo nano /etc/rsyslog.d/60-output.confKopieren Sie die folgenden Zeilen in diese Datei:
/etc/rsyslog.d/60-output.conf
# This line sends all lines to defined IP address at port 10514,
# using the "json-template" format template
*.* @:10514;json-templateDas "+ *. * " Am Anfang bedeutet, den Rest der Zeile für alle Protokollnachrichten zu verarbeiten. Die Symbole " @ " bedeuten, dass UDP verwendet wird (verwenden Sie " @@ ", um stattdessen TCP zu verwenden). Die IP-Adresse oder der Hostname nach dem " @ +" ist der Ort, an den die Nachrichten weitergeleitet werden sollen. In unserem Fall verwenden wir die private IP-Adresse für * rsyslog-server *, da der zentralisierte rsyslog-Server und der Logstash-Server auf demselben Droplet installiert sind. * Dies muss mit der privaten IP-Adresse übereinstimmen, die Sie in Logstash konfigurieren, um sie im nächsten Schritt abzuhören. *
Die Portnummer ist die nächste. Dieses Tutorial verwendet Port 10514. Beachten Sie, dass der Logstash-Server denselben Port mit demselben Protokoll überwachen muss. Der letzte Teil ist unsere Vorlagendatei, die zeigt, wie die Daten vor der Weitergabe formatiert werden.
Starten Sie rsyslog noch nicht neu. Zuerst müssen wir Logstash konfigurieren, um die Nachrichten zu empfangen.
Schritt 7 - Konfigurieren Sie Logstash für den Empfang von JSON-Nachrichten
In diesem Schritt installieren Sie Logstash, konfigurieren es für den Empfang von JSON-Nachrichten von rsyslog und konfigurieren es für das Senden der JSON-Nachrichten an Elasticsearch.
Logstash erfordert Java 7 oder höher. Befolgen Sie die Anweisungen aus * Schritt 1 * des Elasticsearch tutorial, um Java zu installieren 7 oder 8 auf dem Droplet * rsyslog-server *.
Installieren Sie als Nächstes den Sicherheitsschlüssel für das Logstash-Repository:
wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -Fügen Sie die Repository-Definition zu Ihrer + / etc / apt / sources.list -Datei hinzu:
echo "deb http://packages.elastic.co/logstash/2.3/debian stable main" | sudo tee -a /etc/apt/sources.listAktualisieren Sie Ihre Paketlisten, um das Logstash-Repository einzuschließen:
sudo apt-get updateZum Schluss installieren Sie Logstash:
sudo apt-get install logstashNachdem Logstash installiert ist, konfigurieren wir es so, dass es auf Nachrichten von rsyslog wartet.
Die Standardinstallation von Logstash sucht nach Konfigurationsdateien in + / etc / logstash / conf.d +. Bearbeiten Sie die Hauptkonfigurationsdatei:
sudo nano /etc/logstash/conf.d/logstash.confFügen Sie dann diese Zeilen zu + / etc / logstash / conf.d / logstash.conf + hinzu:
/etc/logstash/conf.d/logstash.conf`
# This input block will listen on port 10514 for logs to come in.
# host should be an IP on the Logstash server.
# codec => "json" indicates that we expect the lines we're receiving to be in JSON format
# type => "rsyslog" is an optional identifier to help identify messaging streams in the pipeline.
input {
udp {
host => ""
port => 10514
codec => "json"
type => "rsyslog"
}
}
# This is an empty filter block. You can later add other filters here to further process
# your log lines
filter { }
# This output block will send all events of type "rsyslog" to Elasticsearch at the configured
# host and port into daily indices of the pattern, "rsyslog-YYYY.MM.DD"
output {
if [type] == "rsyslog" {
elasticsearch {
hosts => [ ":9200" ]
}
}
}Das Syslog-Protokoll ist per Definition UDP, daher spiegelt diese Konfiguration diesen Standard wider.
Stellen Sie im Eingabeblock die Logstash-Hostadresse ein, indem Sie die private IP-Adresse von * rsyslog-server * eingeben, auf dem auch Logstash installiert ist.
Der Eingabeblock konfiguriert Logstash so, dass es den Port "+ 10514 +" überwacht, damit es nicht mit Syslog-Instanzen auf demselben Computer konkurriert. Für einen Port unter 1024 muss Logstash als Root ausgeführt werden. Dies ist keine gute Sicherheitsmethode.
Stellen Sie sicher, dass Sie die * private IP-Adresse * Ihres Elasticsearch-Droplets eingeben. Der Ausgabeblock zeigt eine einfache conditional Konfiguration. Ihr Ziel ist es, nur übereinstimmende Ereignisse durchzulassen. In diesem Fall sind das nur Ereignisse mit einem "Typ" von "rsyslog".
Testen Sie Ihre Logstash-Konfigurationsänderungen:
sudo service logstash configtestEs sollte "+ Konfiguration OK" angezeigt werden, wenn keine Syntaxfehler vorliegen. Versuchen Sie andernfalls, die Fehlerausgabe zu lesen, um festzustellen, was mit Ihrer Logstash-Konfiguration nicht stimmt.
Wenn alle diese Schritte abgeschlossen sind, können Sie Ihre Logstash-Instanz starten, indem Sie Folgendes ausführen:
sudo service logstash startStarten Sie auch rsyslog auf demselben Server neu, da eine Logstash-Instanz vorhanden ist, auf die jetzt weitergeleitet werden soll:
sudo service rsyslog restartSo überprüfen Sie, ob Logstash Port 10514 überwacht:
netstat -na | grep 10514Sie sollten so etwas sehen:
Ausgabe von netstat
udp6 0 0 10.128.33.68:10514 :::*Sie sehen die private IP-Adresse von * rsyslog-server * und die Portnummer 10514, die wir zum Abhören von rsyslog-Daten verwenden.
Schritt 8 - Überprüfung der Elasticsearch-Eingabe
Zuvor haben wir Elasticsearch so konfiguriert, dass es seine private IP-Adresse überwacht. Es sollte jetzt Nachrichten von Logstash empfangen. In diesem Schritt überprüfen wir, ob Elasticsearch die Protokolldaten empfängt.
Die Droplets * rsyslog-client * und * rsyslog-server * sollten alle ihre Protokolldaten an Logstash senden, die dann an Elasticsearch weitergeleitet werden. Generieren Sie eine Sicherheitsnachricht, um sicherzustellen, dass Elasticsearch diese Nachrichten tatsächlich empfängt.
Führen Sie auf * rsyslog-client * den folgenden Befehl aus:
sudo tail /var/log/auth.logSie sehen das Sicherheitsprotokoll auf dem lokalen System am Ende der Ausgabe. Es sieht ungefähr so aus:
Ausgabe von tail /var/log/auth.log
May 2 16:43:15 rsyslog-client sudo: sammy : TTY=pts/0 ; PWD=/etc/rsyslog.d ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
May 2 16:43:15 rsyslog-client sudo: pam_unix(sudo:session): session opened for user root by sammy(uid=0)Mit einer einfachen Abfrage können Sie Elasticsearch überprüfen:
Führen Sie den folgenden Befehl auf dem Elasticsearch-Server oder einem System aus, das Zugriff darauf hat. Ersetzen Sie durch die private IP-Adresse des Elasticsearch-Servers. Diese IP-Adresse muss auch diejenige sein, die Sie für Elasticsearch konfiguriert haben, um sie weiter oben in diesem Lernprogramm abzuhören.
curl -XGET 'http://:9200/_all/_search?q=*&pretty'In der Ausgabe sehen Sie etwas Ähnliches wie das Folgende:
Ausgabe der Wellung
{
"_index" : "logstash-2016.05.04",
"_type" : "rsyslog",
"_id" : "AVR8fpR-e6FP4Elp89Ww",
"_score" : 1.0,
"_source":{"@timestamp":"2016-05-04T15:59:10.000Z","@version":"1","message":" sammy : TTY=pts/0 ; PWD=/home/sammy ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log","sysloghost":"rsyslog-client","severity":"notice","facility":"authpriv","programname":"sudo","procid":"-","type":"rsyslog","host":"10.128.33.68"}
},Beachten Sie, dass der Name des Droplets, das die rsyslog-Nachricht generiert hat, im Protokoll enthalten ist (* rsyslog-client *).
Mit diesem einfachen Überprüfungsschritt ist Ihr zentrales rsyslog-Setup vollständig und voll funktionsfähig!
Fazit
Ihre Protokolle befinden sich jetzt in Elasticsearch. Was kommt als nächstes? Lesen Sie, was Kibana tun kann, um die Daten in Elasticsearch zu visualisieren, einschließlich Linien- und Balkendiagrammen, Kreisdiagrammen, Karten und mehr. https://www.digitalocean.com/community/tutorials/how-to-use-logstash-and-kibana-to-centralize-and-visualize-logs-on-ubuntu-14-04#connect-to-kibana [ Verwenden von Logstash und Kibana zum Zentralisieren von Protokollen In Ubuntu 14.04] wird erläutert, wie Sie die Kibana-Weboberfläche zum Suchen und Visualisieren von Protokollen verwenden.
Möglicherweise wären Ihre Daten beim weiteren Parsen und Tokenisieren wertvoller. Wenn ja, können Sie dieses Ergebnis erzielen, indem Sie mehr über Logstash erfahren.