Beats
Logmanager podporuje příjem logů z beats aplikací. Na straně Logmanager beží služba logstash, která podporuje pouze šifrované spojení protokolem TLS 1.3.
Logmanager automaticky provede následující akce pro každou událost, kterou přijme z beat služeb:
- Přidání reálné zdrojové IP adresy do pole meta.src.ip
- Automaticky dekóduje a uloží přijatou JSON zprávu do proměné message[„structured_data“] kterou je možné využít v klasifikaci/parserech/alertech.
- Aplikuje defaultní vendor klasifikace pokud data přijdou z bežných beat zdrojů (winlobeat).
Systémovou proměnou message[„structured_data“] můžete používat v jakékoliv části systému zpracování události (klasifikátory, parsery, alerty). Tato proměná automaticky obsahuje dekódovaný JSON z originální zprávy přijaté pomocí beat pluginu. Můžete také využít standartní testovací okna pro ověření správné funkčnosti vaší konfigurace.
- Stáhnete si poslední dostupnou MSI winlogbeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/winlogbeat-oss
- Nainstalujte stažené MSI.
- Vytvořte minimální konfigurační soubor na cestě:
„c:\ProgramData\Elastic\Beats\winlogbeat\winlogbeat.yml“with folowing content
###################### Winlogbeat Configuration Example ########################
#======================= Winlogbeat specific options ===========================
winlogbeat.event_logs:
- name: Application
ignore_older: 15m
- name: Setup
ignore_older: 15m
- name: System
ignore_older: 15m
- name: Security
ignore_older: 15m
# ------------------------------ Logstash Output -------------------------------
output.logstash:
hosts: ["example.com:5044"]
pipelining: 4
ssl.enabled: true
ssl.verification_mode: none
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch Winlogbeat” (po restartu systému bude služba startovat automaticky). Více konfiguračních možností můžete najít zde: https://www.elastic.co/guide/en/beats/winlogbeat/current/configuring-howto-winlogbeat.html
YML konfigurační soubory vyžadují přesné dodržení mezer, kopírujte příklad konfigurace obezřetně!
Tento příklad obsahuje pouze minimální nutnou konfiguraci pro odesílání logů do LM serveru.
- Stáhnete si poslední dostupnou MSI winlogbeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/winlogbeat-oss
- Nainstalujte stažené MSI.
- spusttě powershell script winlogbeat_monitor-all-channels.ps1 jako administrátor.
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch Winlogbeat” (po restartu systému bude služba startovat automaticky).
- Stáhnete si poslední dostupnou MSI filebeat instalaci pod open source Apache licencí z této adresy: https://www.elastic.co/downloads/beats/filebeat-oss
- Nainstalujte stažené MSI.
- Vytvořte minimální konfigurační soubor na cestě:
„c:ProgramDataElasticBeatsfilelogbeatwinlogbeat.yml“with folowing content
###################### Filebeat configuration example ########################
filebeat.inputs:
- type: log
paths:
- c:\example\example.log
tags: ["example"]
tail_files: true
max_bytes: 64000
#pro jednodušší klasifikaci a označení souborů můžete využít beat značek/tagů.
# ------------------------------ Logstash Output -------------------------------
output.logstash:
hosts: ["example.com:5044"]
pipelining: 4
ssl.enabled: true
ssl.verification_mode: none
Atributy max_bytes a tail_files jsou nezbytné pro správnou funkčnost celého řešení. Bez nich bude Logmanager všechny příchozí zprávy přesahující limit 64 000 bajtů automaticky ořezávat. Každá oříznutá zpráva bude automaticky označená jako truncated. Vnitřní systém není navržen tak, aby sbíral zprávy/logy s velikostí větší, než je zmíněna.
Doporučujeme také použít nižší hodnotu než 64 000 bajtů, aby zbytečně nenarůstal objem uložených dat na straně Logmanageru.
- Spusťte správce služeb a ručně nastartujte službu “Elasticsearch filebeat” (po restartu systému bude služba startovat automaticky).
YML konfigurační soubory vyžadují přesné dodržení mezer, kopírujte příklad konfigurace obezřetně!