Forum Linux.général centralisation des logs

Posté par dada le 28 mars 2016 à 17:34. Licence CC By‑SA.

Étiquettes :

mar.

2016

bonjour,

Je suis actuellement en stage, et j'ai besoin d'aide pour mieux avancer.
Don, mon projet consiste à mettre en place une console de sécurité, permettant la centralisation et l’analyse des logs des différentes machines du réseau de l'entreprise en utilisant des outils tout à fait libres.
j'ai choisi de travailler avec NXlog, et ELK(elasticsearch,logstach et kibana).
j'ai installé trois machine virtuelles: une Ubuntu l'autre WindowsServer2012 et pour le serveur de centralisation des logs centOS7.
j'ai suivi des tutoriels afin d'installer ces trois outils(ELK) sur le serveur centOS7, mais j'ai trouvé des difficultés.
voila l'une d'eux dés que je consulte la page web de kibana je peux pas créer un index

# Lister les index

Posté par j_m le 28 mars 2016 à 18:51. Évalué à 2.
Dans elastic search tu peux lister les index.

https://www.elastic.co/guide/en/elasticsearch/reference/1.4/_list_all_indexes.html
```
curl 'localhost:9200/_cat/indices?v'
```
Si il n'y en a pas c'est que tu as un problème de configuration entre logstash et elasticsearch. Si tout va bien tu trouveras le nom de l'index à utiliser dans l'interface web de kibana.
- [^] # Re: Lister les index
  
  Posté par dada le 29 mars 2016 à 10:30. Évalué à 1.
  
  d'accord je vais voir,merci
  - [^] # Re: Lister les index
    
    Posté par dada le 29 mars 2016 à 11:50. Évalué à 1.
    
    --voila l'erreur au dessous de la page web Kibana-- je trouve
    Index contains time-based event(coché)
    aussi je trouve
    Index name or pattern
    logstash-*
    Après ce message d'erreur
    
    Do not expand index pattern when searching (Not recommended)
    
    By default, searches against any time-based index pattern that contains a wildcard will automatically be expanded to query only the indices that contain data within the currently selected time range.
    
    Searching against the index pattern logstash-* will actually query elasticsearch for the specific matching indices (e.g. logstash-2015.12.21) that fall within the current time range.
    - [^] # Re: Lister les index
      
      Posté par j_m le 29 mars 2016 à 12:11. Évalué à 2.
      
      Et elasticsearch dit quoi quand tu listes les index ? Tu connais bien l'adresse et le port de ton elasticsearch pour faire la requête curl ? Tu l'as bien installé et il est bien lancé ?
      
      Kibana a besoin d'un index qui existe dans elastcisearch et je crois que le message d'erreur signifie que kibana va chercher un index de la forme logstash-2015.12.21 construit avec la date du jour. Cet index n'existe peut-être pas dans ton elasticsearch.
      - [^] # Re: Lister les index
        
        Posté par dada le 30 mars 2016 à 12:59. Évalué à 1.
        
        voila le résultat lors de l’exécution des commandes:
        [gada@localhost ~]$ curl -X GET 'http://localhost:9200'
        {
        "name" : "Madam Slay",
        "cluster_name" : "elasticsearch",
        "version" : {
        "number" : "2.2.1",
        "build_hash" : "d045fc29d1932bce18b2e65ab8b297fbf6cd41a1",
        "build_timestamp" : "2016-03-09T09:38:54Z",
        "build_snapshot" : false,
        "lucene_version" : "5.4.1"
        },
        "tagline" : "You Know, for Search"
        }
        [gada@localhost ~]$ curl 'localhost:9200/_cat/indices?v'
        health status index pri rep docs.count docs.deleted store.size pri.store.size
        yellow open .kibana 1 1 103 0 100.6kb 100.6kb
        yellow open customer 5 1 0 0 795b 795b
        [gada@localhost ~]$
        
        [^] # Re: Lister les index
        
        Posté par j_m le 30 mars 2016 à 13:08. Évalué à 3. Dernière modification le 30 mars 2016 à 13:10.
        
        [gada@localhost ~]$ curl 'localhost:9200/_cat/indices?v' health status index pri rep docs.count docs.deleted store.size pri.store.size yellow open .kibana 1 1 103 0 100.6kb 100.6kb yellow open customer 5 1 0 0 795b 795b
        
        On voit que tu as un index 'customer'
        
        Donc dans l'interface web de kibana tu dois utiliser 'customer' comme index, à la place de 'logstash-*'
        
        L'index devrait être ainsi accepté mais la colonne docs.count indique zéro, c'est que tu n'as chargé aucun document (ou customer) dans cet index. Tu n'utilises peut-être pas très bien logstash.
# configuration logstash

Posté par dada le 25 avril 2016 à 13:16. Évalué à 1.

bonjour,
je reviens après un peu de retard s'il vous plait j'ai besoin de savoir comment configurer logstash afin de collecter les logs en utilisant le service rsyslog
- [^] # Re: configuration logstash
  
  Posté par NeoX le 25 avril 2016 à 21:29. Évalué à 2.
  
  en lisant le manuel de chacun des logiciels ?
  
  non sans deconner, tu as essayé quoi ?
  ca bloque à quel moment ?
  - [^] # Re: configuration logstash
    
    Posté par dada le 26 avril 2016 à 02:29. Évalué à 1.
    
    merci pour votre gentillesse, j'ai résolu le problème

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.