Einführung
In diesem Lernprogramm werden wir uns mit der Installation von Logstash 1.4.2 und Kibana 3 befassen und erläutern, wie diese konfiguriert werden, um die Syslogs unserer Systeme an einem zentralen Ort zu erfassen und zu visualisieren. Logstash ist ein Open Source-Tool zum Sammeln, Parsen und Speichern von Protokollen für die zukünftige Verwendung. Kibana 3 ist eine Weboberfläche, mit der Sie die von Logstash indizierten Protokolle durchsuchen und anzeigen können. Beide Tools basieren auf Elasticsearch. Elasticsearch, Logstash und Kibana werden zusammen als ELK-Stapel bezeichnet.
Die zentrale Protokollierung kann sehr nützlich sein, wenn Sie versuchen, Probleme mit Ihren Servern oder Anwendungen zu identifizieren, da Sie alle Ihre Protokolle an einem einzigen Ort durchsuchen können. Dies ist auch nützlich, da Sie Probleme identifizieren können, die sich über mehrere Server erstrecken, indem Sie deren Protokolle während eines bestimmten Zeitraums korrelieren.
Es ist möglich, Logstash zum Sammeln von Protokollen aller Art zu verwenden. Wir beschränken den Umfang dieses Lernprogramms jedoch auf das Sammeln von Syslogs.
Unser Ziel
Das Lernprogramm hat zum Ziel, Logstash so einzurichten, dass Syslogs mehrerer Server erfasst werden, und Kibana so einzurichten, dass die erfassten Protokolle angezeigt werden.
Unser Logstash / Kibana-Setup besteht aus vier Hauptkomponenten:
-
* Logstash *: Die Serverkomponente von Logstash, die eingehende Protokolle verarbeitet
-
* Elasticsearch *: Speichert alle Protokolle
-
* Kibana *: Weboberfläche zum Durchsuchen und Visualisieren von Protokollen
-
* Logstash Forwarder *: Auf Servern installiert, die ihre Protokolle an Logstash senden, dient Logstash Forwarder als Protokollweiterleitungs-Agent, der das Netzwerkprotokoll lumberjack für die Kommunikation mit Logstash verwendet
Wir werden die ersten drei Komponenten auf einem einzigen Server installieren, den wir als unseren * Logstash-Server * bezeichnen. Der Logstash Forwarder wird auf allen Servern installiert, für die wir Protokolle erfassen möchten, die wir zusammen als unsere * Server * bezeichnen.
Voraussetzungen
Um dieses Tutorial abzuschließen, benötigen Sie Root-Zugriff auf ein CentOS 6.5 VPS. Anweisungen zum Einrichten finden Sie hier (Schritte 3 und 4): Initial Server Setup with CentOS 6.
Die Menge an CPU, RAM und Speicher, die Ihr Logstash-Server benötigt, hängt von der Menge an Protokollen ab, die Sie sammeln möchten. In diesem Tutorial verwenden wir einen VPS mit den folgenden Spezifikationen für unseren Logstash-Server:
-
Betriebssystem: CentOS 6.5
-
RAM: 2 GB
-
CPU: 2
Zusätzlich zu Ihrem Logstash-Server benötigen Sie einige andere Server, von denen Sie Protokolle erfassen.
Beginnen wir mit der Einrichtung unseres Logstash-Servers!
Installieren Sie Java 7
Elasticsearch und Logstash benötigen Java 7, das werden wir jetzt installieren. Wir werden OpenJDK 7 installieren.
Installieren Sie die neueste stabile Version von OpenJDK 7 mit diesem Befehl:
sudo yum -y install java-1.7.0-openjdkNachdem Java 7 installiert ist, installieren wir ElasticSearch.
Installieren Sie Elasticsearch
-
Hinweis *: Logstash 1.4.2 empfiehlt Elasticsearch 1.1.1.
Führen Sie den folgenden Befehl aus, um den öffentlichen GPG-Schlüssel von Elasticsearch in rpm zu importieren:
sudo rpm --import http://packages.elasticsearch.org/GPG-KEY-elasticsearchErstellen und bearbeiten Sie eine neue yum-Repository-Datei für Elasticsearch:
sudo vi /etc/yum.repos.d/elasticsearch.repoFügen Sie die folgende Repository-Konfiguration hinzu:
[elasticsearch-1.1]
name=Elasticsearch repository for 1.1.x packages
baseurl=http://packages.elasticsearch.org/elasticsearch/1.1/centos
gpgcheck=1
gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
enabled=1Speichern und schließen.
Installieren Sie Elasticsearch 1.1.1 mit diesem Befehl:
sudo yum -y install elasticsearch-1.1.1Elasticsearch ist jetzt installiert. Bearbeiten wir die Konfiguration:
sudo vi /etc/elasticsearch/elasticsearch.ymlFügen Sie die folgende Zeile irgendwo in die Datei ein, um dynamische Skripte zu deaktivieren:
script.disable_dynamic: trueSie möchten auch den Zugriff von außen auf Ihre Elasticsearch-Instanz einschränken, damit Außenstehende Ihre Daten nicht lesen oder Ihren Elasticseach-Cluster über die HTTP-API herunterfahren können. Suchen Sie die Zeile, die "+ network.host +" angibt, und kommentieren Sie sie aus, damit sie so aussieht:
network.host: localhostDeaktivieren Sie dann Multicast, indem Sie das Element "+ discovery.zen.ping.multicast.enabled +" suchen und das Kommentarzeichen entfernen, damit es folgendermaßen aussieht:
discovery.zen.ping.multicast.enabled: falseSpeichern und beenden Sie "+ elasticsearch.yml +".
Starten Sie jetzt Elasticsearch:
sudo service elasticsearch restartFühren Sie dann den folgenden Befehl aus, um Elasticsearch beim Booten zu starten:
sudo /sbin/chkconfig --add elasticsearchNachdem Elasticsearch nun ausgeführt wird, können Sie Kibana installieren.
Installieren Sie Kibana
-
Hinweis *: Logstash 1.4.2 empfiehlt Kibana 3.0.1.
Laden Sie Kibana mit dem folgenden Befehl in Ihr Ausgangsverzeichnis herunter:
cd ~; curl -O https://download.elasticsearch.org/kibana/kibana/kibana-3.0.1.tar.gzKibana-Archiv mit Teer extrahieren:
tar xvf kibana-3.0.1.tar.gzÖffnen Sie die Kibana-Konfigurationsdatei zum Bearbeiten:
vi ~/kibana-3.0.1/config.jsSuchen Sie in der Kibana-Konfigurationsdatei die Zeile, die die Server-URL "+ elasticsearch " angibt, und ersetzen Sie die Portnummer (standardmäßig 9200) durch " 80 +":
elasticsearch: "http://"+window.location.hostname+":80",Dies ist notwendig, da wir planen, über Port 80 auf Kibana zuzugreifen (d. H. http: // logstash% 5C_server% 5C_public% 5C_ip / [http: // logstash \ _server \ _public \ _ip /]).
Wir werden Nginx für unsere Kibana-Installation verwenden. Verschieben Sie die Dateien also an einen geeigneten Ort. Erstellen Sie ein Verzeichnis mit dem folgenden Befehl:
sudo mkdir -p /usr/share/nginx/kibana3Kopieren Sie nun die Kibana-Dateien in Ihr neu erstelltes Verzeichnis:
sudo cp -R ~/kibana-3.0.1/* /usr/share/nginx/kibana3/Bevor wir die Kibana-Weboberfläche verwenden können, müssen wir Nginx installieren. Machen wir das jetzt.
Installieren Sie Nginx
Fügen Sie das Yum-Repository hinzu, das Nginx enthält:
sudo rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpmVerwenden Sie Yum, um Nginx zu installieren:
sudo yum -y install nginxAufgrund der Art und Weise, wie Kibana den Benutzer mit Elasticsearch verbindet (der Benutzer muss in der Lage sein, direkt auf Elasticsearch zuzugreifen), müssen wir Nginx so konfigurieren, dass die Anforderungen von Port 80 an Port 9200 (den Port, den Elasticsearch standardmäßig überwacht) weitergeleitet werden. Glücklicherweise stellt Kibana eine Nginx-Beispielkonfiguration zur Verfügung, mit der das meiste davon eingerichtet wird.
Laden Sie die Nginx-Beispielkonfiguration aus dem Github-Repository von Kibana in Ihr Ausgangsverzeichnis herunter:
cd ~; curl -OL https://gist.githubusercontent.com/thisismitch/2205786838a6a5d61f55/raw/f91e06198a7c455925f6e3099e3ea7c186d0b263/nginx.confÖffnen Sie die Beispielkonfigurationsdatei zum Bearbeiten:
vi nginx.confSuchen und ändern Sie die Werte von "+ Servername " in Ihren vollqualifizierten Domänennamen (oder Ihre öffentliche IP-Adresse, wenn Sie keinen Domänennamen verwenden) und " root +" in den Installationsort von Kibana, sodass sie wie folgt aussehen:
server_name ;
root /usr/share/nginx/kibana3;Speichern und schließen. Kopieren Sie es nun mit dem folgenden Befehl über Ihren Nginx-Standardserverblock:
sudo cp ~/nginx.conf /etc/nginx/conf.d/default.confJetzt werden wir + apache2-utils + installieren, damit wir + htpasswd + verwenden können, um ein Paar aus Benutzername und Passwort zu generieren:
sudo yum install httpd-tools-2.2.15Erstellen Sie dann ein Login, das in Kibana zum Speichern und Freigeben von Dashboards verwendet wird (ersetzen Sie Ihren eigenen Benutzernamen):
sudo htpasswd -c /etc/nginx/conf.d/kibana.myhost.org.htpasswdGeben Sie dann ein Passwort ein und überprüfen Sie es. Auf die soeben erstellte htpasswd-Datei wird in der Nginx-Konfiguration verwiesen, die Sie kürzlich konfiguriert haben.
Starten Sie nun Nginx neu, damit die Änderungen wirksam werden:
sudo service nginx restartKonfigurieren Sie Nginx auch so, dass es beim Booten startet:
sudo chkconfig --levels 235 nginx onAuf Kibana kann jetzt über Ihren FQDN oder die öffentliche IP-Adresse Ihres Logstash-Servers zugegriffen werden, d. H. http: // logstash% 5C_server% 5C_public% 5C_ip / [http: // logstash \ _server \ _public \ _ip /]. Wenn Sie in einem Webbrowser dorthin gehen, sollte eine Kibana-Begrüßungsseite angezeigt werden, auf der Sie Dashboards anzeigen können. Es können jedoch keine Protokolle angezeigt werden, da Logstash noch nicht eingerichtet wurde. Machen wir das jetzt.
Installieren Sie Logstash
Das Logstash-Paket verwendet denselben GPG-Schlüssel wie Elasticsearch. Wir haben diesen öffentlichen Schlüssel bereits installiert. Erstellen und bearbeiten Sie daher eine neue Yum-Repository-Datei für Logstash:
sudo vi /etc/yum.repos.d/logstash.repoFügen Sie die folgende Repository-Konfiguration hinzu:
[logstash-1.4]
name=logstash repository for 1.4.x packages
baseurl=http://packages.elasticsearch.org/logstash/1.4/centos
gpgcheck=1
gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
enabled=1Speichern und schließen.
Installieren Sie Logstash 1.4.2 mit diesem Befehl:
sudo yum -y install logstash-1.4.2Logstash ist installiert, aber noch nicht konfiguriert.
Generieren Sie SSL-Zertifikate
Da wir Logstash Forwarder verwenden, um Protokolle von unseren Servern an unseren Logstash-Server zu senden, müssen wir ein SSL-Zertifikat und ein Schlüsselpaar erstellen. Das Zertifikat wird vom Logstash Forwarder verwendet, um die Identität des Logstash-Servers zu überprüfen.
Jetzt haben Sie zwei Möglichkeiten, Ihre SSL-Zertifikate zu generieren. Wenn Sie über ein DNS-Setup verfügen, mit dem Ihre Client-Server die IP-Adresse des Logstash-Servers auflösen können, verwenden Sie * Option 2 *. Andernfalls können Sie mit * Option 1 * IP-Adressen verwenden.
Option 1: IP-Adresse
Wenn Sie kein DNS-Setup haben, das es Ihren Servern ermöglicht, Protokolle zu sammeln, um die IP-Adresse Ihres Logstash-Servers aufzulösen, müssen Sie die private IP-Adresse Ihres Logstash-Servers zum "+ subjectAltName +" hinzufügen (SAN) -Feld des zu generierenden SSL-Zertifikats. Öffnen Sie dazu die OpenSSL-Konfigurationsdatei:
sudo vi /etc/pki/tls/openssl.cnfSuchen Sie den Abschnitt "+ [v3_ca] +" in der Datei und fügen Sie diese Zeile darunter ein (ersetzen Sie die private IP-Adresse des Logstash-Servers):
subjectAltName = IP:Speichern und schließen.
Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /) mit den folgenden Befehlen:
cd /etc/pki/tls
sudo openssl req -config /etc/pki/tls/openssl.cnf -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crtDie Datei logstash-forwarder.crt wird auf alle Server kopiert, die Protokolle an Logstash senden. Dies erfolgt jedoch etwas später. Vervollständigen wir unsere Logstash-Konfiguration. Wenn Sie diese Option gewählt haben, überspringen Sie Option 2 und fahren Sie mit * Logstash konfigurieren * fort.
Option 2: FQDN (DNS)
Wenn Sie über ein DNS-Setup mit Ihrem privaten Netzwerk verfügen, sollten Sie einen A-Eintrag erstellen, der die private IP-Adresse des Logstash-Servers enthält. Dieser Domänenname wird im nächsten Befehl zum Generieren des SSL-Zertifikats verwendet. Alternativ können Sie einen Datensatz verwenden, der auf die öffentliche IP-Adresse des Servers verweist. Stellen Sie nur sicher, dass Ihre Server (die Server, von denen Sie Protokolle sammeln) den Domänennamen in Ihren Logstash-Server auflösen können.
Generieren Sie nun das SSL-Zertifikat und den privaten Schlüssel an den entsprechenden Speicherorten (/ etc / pki / tls /…) mit dem folgenden Befehl (Ersatz im FQDN des Logstash-Servers):
cd /etc/pki/tls
sudo openssl req -subj '/CN=<^>logstash_server_fqdn/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crtDie Datei logstash-forwarder.crt wird auf alle Server kopiert, die Protokolle an Logstash senden. Dies erfolgt jedoch etwas später. Vervollständigen wir unsere Logstash-Konfiguration.
Logstash konfigurieren
Logstash-Konfigurationsdateien haben das JSON-Format und befinden sich in /etc/logstash/conf.d. Die Konfiguration besteht aus drei Abschnitten: Eingaben, Filter und Ausgaben.
Erstellen Sie eine Konfigurationsdatei mit dem Namen "+ 01-lumberjack-input.conf +" und richten Sie unseren "lumberjack" -Eingang ein (das von Logstash Forwarder verwendete Protokoll):
sudo vi /etc/logstash/conf.d/01-lumberjack-input.confFügen Sie die folgende Eingabekonfiguration ein:
input {
lumberjack {
port => 5000
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}Speichern und Beenden. Dies gibt einen "+ lumberjack " - Eingang an, der den TCP-Port " 5000 +" überwacht und das SSL-Zertifikat und den privaten Schlüssel verwendet, die wir zuvor erstellt haben.
Jetzt erstellen wir eine Konfigurationsdatei mit dem Namen "+ 10-syslog.conf +", in der wir einen Filter für Syslog-Nachrichten hinzufügen:
sudo vi /etc/logstash/conf.d/10-syslog.confFügen Sie die folgende syslog filter Konfiguration ein:
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}Speichern und Beenden. Dieser Filter sucht nach Protokollen, die vom Typ "syslog" (von einem Logstash Forwarder) als "syslog" bezeichnet werden, und verwendet "grok", um eingehende Syslog-Protokolle zu analysieren, um sie strukturiert und abfragbar zu machen.
Zuletzt erstellen wir eine Konfigurationsdatei mit dem Namen "+ 30-lumberjack-output.conf +":
sudo vi /etc/logstash/conf.d/30-lumberjack-output.confFügen Sie die folgende output Konfiguration ein:
output {
elasticsearch { host => localhost }
stdout { codec => rubydebug }
}Speichern und schließen. Diese Ausgabe konfiguriert Logstash grundsätzlich so, dass die Protokolle in Elasticsearch gespeichert werden.
Mit dieser Konfiguration akzeptiert Logstash auch Protokolle, die nicht mit dem Filter übereinstimmen, aber die Daten werden nicht strukturiert (z. ungefilterte Nginx- oder Apache-Protokolle werden als flache Nachrichten angezeigt, anstatt Nachrichten nach HTTP-Antwortcodes, Quell-IP-Adressen, bereitgestellten Dateien usw. zu kategorisieren.
Wenn Sie Filter für andere Anwendungen hinzufügen möchten, die die Logstash Forwarder-Eingabe verwenden, müssen Sie die Dateien so benennen, dass sie zwischen der Eingabe- und der Ausgabekonfiguration sortiert sind (d. H. zwischen 01 und 30).
Starten Sie Logstash neu, damit die Konfigurationsänderungen wirksam werden:
sudo service logstash restartNun, da unser Logstash-Server bereit ist, können Sie Logstash Forwarder einrichten.
Richten Sie Logstash Forwarder ein
-
Hinweis *: Führen Sie diese Schritte für jeden Server aus, den Sie Protokolle an Ihren Logstash-Server senden möchten. Anweisungen zum Installieren von Logstash Forwarder auf Debian-basierten Linux-Distributionen (z. Ubuntu, Debian usw.) finden Sie unter https://www.digitalocean.com/community/tutorials/how-to-use-logstash-and-kibana-to-centralize-and-visualize-logs-on-ubuntu -14-04 # SetUpLogstashForwarder [Einrichten des Logstash Forwarder-Abschnitts der Ubuntu-Variante dieses Tutorials].
Kopieren Sie das SSL-Zertifikat und das Logstash Forwarder-Paket
Kopieren Sie auf * Logstash Server * das SSL-Zertifikat auf * Server * (ersetzen Sie es durch Ihr eigenes Login):
scp /etc/pki/tls/certs/logstash-forwarder.crt @:/tmpInstallieren Sie das Logstash Forwarder-Paket
Laden Sie auf * Server * das Logstash Forwarder-RPM in Ihr Ausgangsverzeichnis herunter:
cd ~; curl -O http://download.elasticsearch.org/logstash-forwarder/packages/logstash-forwarder-0.3.1-1.x86_64.rpmInstallieren Sie dann das Logstash Forwarder-Paket:
sudo rpm -ivh ~/logstash-forwarder-0.3.1-1.x86_64.rpmAls Nächstes möchten Sie das Init-Skript für Logstash Forwarder installieren, damit es beim Booten gestartet wird. Wir werden das von logstashbook.com bereitgestellte Init-Skript verwenden:
cd /etc/init.d/; sudo curl -o logstash-forwarder http://logstashbook.com/code/4/logstash_forwarder_redhat_init
sudo chmod +x logstash-forwarderDas Init-Skript hängt von einer Datei mit dem Namen "+ / etc / sysconfig / logstash-forwarder +" ab. Eine Beispieldatei steht zum Download zur Verfügung:
sudo curl -o /etc/sysconfig/logstash-forwarder http://logstashbook.com/code/4/logstash_forwarder_redhat_sysconfigÖffne es zum Bearbeiten:
sudo vi /etc/sysconfig/logstash-forwarderÄndern Sie den Wert "+ LOGSTASH_FORWARDER_OPTIONS +" so, dass er wie folgt aussieht:
LOGSTASH_FORWARDER_OPTIONS="-config /etc/logstash-forwarder -spool-size 100"Speichern und Beenden.
Kopieren Sie nun das SSL-Zertifikat an den entsprechenden Speicherort (/ etc / pki / tls / certs):
sudo cp /tmp/logstash-forwarder.crt /etc/pki/tls/certs/Konfigurieren Sie Logstash Forwarder
Erstellen und bearbeiten Sie auf * Server * die Logstash Forwarder-Konfigurationsdatei im JSON-Format:
sudo vi /etc/logstash-forwarderFügen Sie nun die folgenden Zeilen in die Datei ein und ersetzen Sie in der privaten IP-Adresse Ihres Logstash-Servers "+ logstash_server_private_IP +":
{
"network": {
"servers": [ ":5000" ],
"timeout": 15,
"ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt"
},
"files": [
{
"paths": [
"/var/log/messages",
"/var/log/secure"
],
"fields": { "type": "syslog" }
}
]
}Speichern und Beenden. Dadurch wird Logstash Forwarder so konfiguriert, dass eine Verbindung zu Ihrem Logstash-Server an Port 5000 (dem Port, für den wir zuvor eine Eingabe festgelegt haben) hergestellt wird, und das zuvor erstellte SSL-Zertifikat wird verwendet. Der Abschnitt paths gibt an, welche Protokolldateien gesendet werden sollen (hier geben wir messages und secure an), und der Abschnitt type gibt an, dass diese Protokolle vom Typ „syslog *“ sind (nach diesem Typ sucht unser Filter).
Beachten Sie, dass Sie hier weitere Dateien / Typen hinzufügen, um Logstash Forwarder für andere Protokolldateien zu konfigurieren und Logstash auf Port 5000 auszuführen.
Jetzt wollen wir den Logstash Forwarder-Dienst mit chkconfig hinzufügen:
sudo chkconfig --add logstash-forwarderStarten Sie nun Logstash Forwarder, um die Änderungen zu übernehmen:
sudo service logstash-forwarder startJetzt sendet Logstash Forwarder messages und auth.log an Ihren Logstash-Server! Wiederholen Sie diesen Vorgang für alle anderen Server, für die Sie Protokolle erfassen möchten.
Stellen Sie eine Verbindung zu Kibana her
Wenn Sie die Einrichtung von Logstash Forwarder auf allen Servern abgeschlossen haben, für die Sie Protokolle erfassen möchten, schauen wir uns Kibana an, die zuvor installierte Weboberfläche.
Wechseln Sie in einem Webbrowser zum FQDN oder zur öffentlichen IP-Adresse Ihres Logstash-Servers. Sie sollten eine Kibana-Willkommensseite sehen.
Klicken Sie auf Logstash Dashboard, um zum vorgefertigten Dashboard zu gelangen. Es sollte ein Histogramm mit Protokollereignissen und Protokollmeldungen angezeigt werden (wenn keine Ereignisse oder Meldungen angezeigt werden, ist eine der vier Logstash-Komponenten nicht ordnungsgemäß konfiguriert).
Hier können Sie Ihre Protokolle durchsuchen und durchsuchen. Sie können Ihr Dashboard auch anpassen. Dies ist ein Beispiel dafür, wie Ihre Kibana-Instanz aussehen könnte:
image: https://assets.digitalocean.com/articles/logstash/dashboard.png [Kibana 3-Beispiel-Dashboard]
Probieren Sie folgende Dinge aus:
-
Suchen Sie nach "root", um festzustellen, ob jemand versucht, sich als root bei Ihren Servern anzumelden
-
Suchen Sie nach einem bestimmten Hostnamen
-
Ändern Sie den Zeitrahmen, indem Sie einen Bereich im Histogramm oder im Menü oben auswählen
-
Klicken Sie auf Meldungen unter dem Histogramm, um zu sehen, wie die Daten gefiltert werden
Kibana hat viele andere Funktionen, wie z. B. Grafik und Filter.
Fazit
Jetzt, da Ihre Syslogs über Logstash zentralisiert sind und Sie sie mit Kibana visualisieren können, sollten Sie mit der Zentralisierung aller Ihrer wichtigen Logs gut beginnen. Denken Sie daran, dass Sie so ziemlich jede Art von Protokoll an Logstash senden können, aber die Daten werden noch nützlicher, wenn sie mit grok analysiert und strukturiert werden.
Beachten Sie, dass Ihr Kibana-Dashboard für jeden zugänglich ist, der auf Ihren Server zugreifen kann. Sie sollten es also mit etwas wie htaccess sichern.