misc notes

Logstash cheat sheet

Revision as of 15:32, 16 February 2015 by Nxhack (talk | contribs)

splunk のデモをみて、自分の環境に logstash を入れてみた。 :) 

logstash - open source log management

どうせやるなら、Centralized Setup with Event Parsing で構成してみた。

このページの構成図のようにしたが、Web インターフェースは Kibana のほうがいい感じ。 

logstash-shipper -> redis -> logstash-indexer -> Elasticsearch -> Kibana

Kibana で細かなアクセス権限を与える場合は、フロントに apache + mod_proxy で実装する。 

ProxyPass              /kibana/  http://127.0.0.1:5601/
ProxyPassReverse       /kibana/  http://127.0.0.1:5601/
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
+いつもの ACL で

Kibana 3 系は elasticsearch を proxy する。あとは kibana 3 の config.js をごにょごにょ 

ProxyRequests Off
ProxyPass              /es/  http://127.0.0.1:9200/ disablereuse=On max=1000 ttl=120 timeout=3000
ProxyPassReverse       /es/  http://127.0.0.1:9200/ timeout=3000
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
SetEnv proxy-initial-not-pooled 1

java の shipper は重たい。 pure ruby の shipper や、専用の shipper があるっぽい。

My logstash config

My logstash config @ github

lightweight shipper

redis にいれる lightweight shipper 

beaver : python daemon that munches on logs and sends their contents to logstash

udp で直接ぶち込むには 

-F string -t udp

lumberjack というのも良いらしい。 

lumberjack
lumberjack は名前がかわって logstash-forwarder になった。elasticsearch 軍団に入った。
logstash-forwarder
elasticsearch の ripogitory に logstash-forwarder の deb がひっそりあるのだが、 i386 版がなくってアセった....

parser

各種ログのパターンのメモ

apache error log 系 

Logstash parser for ModSecurity/CRS entries in the Apache ErrorLog

postfix 系 

Postfix LogStash patterns
Postfix grok filters

logstash の書籍がでた。うれしい 

The LogStash Book

misc

shipper log がたまりまくるので、ちゃんと logrotate 書くこと

Retrieved from "https://www.egrep.jp/wiki/index.php?title=Logstash_cheat_sheet&oldid=2458"