Beats
Logmanager podporuje příjem logů z beats aplikací. Na straně Logmanageru beží služba logstash, která podporuje pouze šifrované spojení protokolem TLS 1.3.
Logmanager automaticky provede následující akce pro každou událost, kterou přijme z beat služeb:
- Přidání reálné zdrojové IP adresy do pole meta.src.ip
- Automaticky dekóduje a uloží přijatou JSON zprávu do proměnné message[„structured_data“], kterou je možné využít v klasifikaci/parserech/alertech.
- Aplikuje defaultní vendor klasifikace, pokud data přijdou z bežných beat zdrojů (winlogbeat).
Systémovou proměnnou message[„structured_data“] můžete používat v jakékoliv části systému zpracování události (klasifikátory, parsery, alerty). Tato proměnná automaticky obsahuje dekódovaný JSON z originální zprávy přijaté pomocí beat pluginu. Můžete také využít standardní testovací okna pro ověření správné funkčnosti vaší konfigurace.
- Stáhněte si poslední dostupnou MSI winlogbeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/winlogbeat-oss
- Nainstalujte stažené MSI.
- Vytvořte minimální konfigurační soubor na umístění
„c:\ProgramData\Elastic\Beats\winlogbeat\winlogbeat.yml“s následujícím obsahem:
###################### Příklad konfigurace Winlogbeat ########################
#======================= Specifické možnosti Wonlogbeat ===========================
winlogbeat.event_logs:
- name: Application
ignore_older: 15m
- name: Setup
ignore_older: 15m
- name: System
ignore_older: 15m
- name: Security
ignore_older: 15m
# ------------------------------ Logstash Output -------------------------------
output.logstash:
hosts: ["example.com:5044"]
pipelining: 4
ssl.enabled: true
ssl.verification_mode: none
Tento příklad obsahuje pouze minimální nutnou konfiguraci pro odesílání logů do LM serveru.
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch Winlogbeat” (po restartu systému bude služba startovat automaticky). Více konfiguračních možností můžete najít zde: https://www.elastic.co/guide/en/beats/winlogbeat/current/configuring-howto-winlogbeat.html
YML konfigurační soubory vyžadují přesné dodržení mezer, kopírujte příklad konfigurace obezřetně!
- Stáhněte si poslední dostupnou MSI winlogbeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/winlogbeat-oss
- Nainstalujte stažené MSI.
- spusťte powershell script winlogbeat_monitor-all-channels.ps1 jako administrátor.
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch Winlogbeat” (po restartu systému bude služba startovat automaticky).
- Stáhněte si poslední dostupnou MSI filebeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/filebeat-oss
- Nainstalujte stažené MSI.
- Vytvořte minimální konfigurační soubor na umístění
„c:ProgramDataElasticBeatsfilelogbeatwinlogbeat.yml“s následujícím obsahem:
###################### Příklad konfigurace Filebeat ########################
filebeat.inputs:
- type: log
paths:
- c:\example\example.log
tags: ["example"]
tail_files: true
max_bytes: 64000
#pro jednodušší klasifikaci a označení souborů můžete využít beat značek/tagů.
# ------------------------------ Logstash Output -------------------------------
output.logstash:
hosts: ["example.com:5044"]
pipelining: 4
ssl.enabled: true
ssl.verification_mode: none
Atributy max_bytes a tail_files jsou nezbytné pro správnou funkčnost celého řešení. Bez nich bude Logmanager všechny příchozí zprávy přesahující limit 64 000 bajtů automaticky ořezávat. Každá oříznutá zpráva bude automaticky označená jako truncated. Vnitřní systém není navržen tak, aby sbíral zprávy/logy s velikostí větší, než je zmíněna. Doporučujeme také použít nižší hodnotu než 64 000 bajtů, aby zbytečně nenarůstal objem uložených dat na straně Logmanageru.
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch filebeat” (po restartu systému bude služba startovat automaticky).
YML konfigurační soubory vyžadují přesné dodržení mezer, kopírujte příklad konfigurace obezřetně!