log analystic


前提環境
Java8以上
利用ツール:Curl, Git
[設定手順]
ダウンロード:https://curl.haxx.se/download.html(Win64 – Generic x86_64
インストール+環境変数Path設定(%Curl_HOME%\bin)
参照:http://techblo.hatenablog.com/entry/2015/08/06/214306

Beats:  https://www.elastic.co/jp/products/beats (Ver:5.3.2: 2017/5/3)

ElasticSearch (Ver5.1.1)
elasticsearch.yml以下追加修正(クロスドメインでのアクセス許可)
http.cors.enabled: true
http.cors.allow-origin: /.*/
#http.cors.allow-origin: /https?:\/\/localhost(:[0-9]+)?/
インデックス更新時間設定
変更前:curl -x “” -XGET “http://localhost:9200/_all/_settings?pretty” -d “{ “index:”}”
curl -x “” -XPUT “http://localhost:9200/_all/_settings?preserve_existing=true” -d “{\”index.refresh_interval\” : \”30s\”}”
インデックス一覧表示:http://localhost:9200/_cat/indices
インデックス削除:curl -x “” -XDELETE “http://localhost:9200/winlogbeat-*”

 curl -x “” -XPUT “http://localhost:9200/winlogbeat-*/_settings” -d “{\”index\”:{ \”number_of_replicas\”: 0}}”

elasticsearchのheadプラグイン
Git Bash
git clone http://github.com/mobz/elasticsearch-head.git
実行:index.htmlを直接Webブラウザーで開く
Kibana: https://www.elastic.co/jp/products/kibana
download: https://www.elastic.co/downloads/past-releases/kibana-5-1-1
所定場所に配置、logsフォルダ作成
conf\kibana.yml設定
ログ出力の設定
logging.dest: “C:\server\elasticsearch\kibana-5.1.1-windows-x86\logs\kibana.log”
Winlogbeat
winlogbeat.yml編集
winlogbeat.event_logs:
# – name: Application
# ignore_older: 72h
– name: Security
event_id: 4624,4634,4656,4659,4663,5145
# – name: System
processors:
– drop_event:
when:
or:
– contains:
event_data.SubjectUserName: [“SaApo0302”, “$”]
– and:
– or:
– equals:
event_id: 4624
– equals:
event_id: 4634
– contains:
event_data.TargetUserName: “$”
– and:
– or:
– equals:
event_id: 4656
– equals:
event_id: 4659
– equals:
event_id: 4663
– not:
contains:
event_data.ObjectName: “C:\\FS\\PUB”
– and:
– equals:
event_id: 5145
– not:
contains:
event_data.ShareName: “\\\\*\\PUB”
テンプレート(winlogbeat.template.json)編集、
“settings”: に”number_of_replicas” : “0” 追加
“settings”: {
“index.refresh_interval”: “5s”,
“number_of_replicas”: 0
文法チェック
.\winlogbeat.exe -c .\winlogbeat.yml -configtest -e
elasticsearchにテンプレート設定、
ElasticSearch起動中に以下Powershell実行
Invoke-WebRequest -Method Put -InFile winlogbeat.template.json -Uri http://localhost:9200/_template/winlogbeat?pretty
StatusCode:200を返却表示
広告
カテゴリー: ElasticSearch, Uncategorized パーマリンク

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中