В прошлой статье мы познакомились со стеком ELK, из каких программных продуктов он состоит. И первая задача с которой сталкивается инженер при работе с ELK стеком это отправление логов для хранения в elasticsearch для последующего анализа. Однако, это просто лишь на словах, elasticsearch хранит логи в виде документов с определенными полями и значениями, а значит инженер должен используя различные инструменты распарсить сообщение, которое отправляется с конечных систем. Сделать это можно несколькими способами — самому написать программу, которая по API будет добавлять документы в базу либо использовать уже готовые решения. В рамках данного курса мы будем рассматривать решение Logstash, которое является частью ELK stack. Мы посмотрим как можно отправить логи с конечных систем в Logstash, а затем будем настраивать конфигурационный файл для парсинга и перенаправления в базу данных Elasticsearch. Для этого в качестве входящей системы берем логи с межсетевого экрана Check Point.
Читать дальше →
source https://habr.com/ru/post/481960/?utm_campaign=481960&utm_source=habrahabr&utm_medium=rss
via Blogger http://vladislav-karelin.blogspot.com/2019/12/2elastic-stack-security-logstash.html #181ap
from WordPress https://vladislavkarelin.wordpress.com/2019/12/26/2-elastic-stack-%d0%b0%d0%bd%d0%b0%d0%bb%d0%b8%d0%b7-security-%d0%bb%d0%be%d0%b3%d0%be%d0%b2-logstash/
https://habrastorage.org/webt/st/sv/rn/stsvrnlxabc4ixpjalmugzema-g.png
Комментариев нет:
Отправить комментарий