0.概要
Kibana + Elasticsearch + Logstashを導入してApacheのログを監視する。
一般的なファイルにアタッチしてログを吸い取る方法から、ネットワーク越しにログを受け取る方法まで。
1. Installation
$ sudo apt-get install openjdk-8-jdk
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ sudo apt-get install apt-transport-https
$ echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
$ sudo apt-get update && sudo apt-get install elasticsearch
$ sudo vi /etc/elasticsearch/elasticsearch.yml
# add configuration
network.host:0.0.0.0
$ sudo vi /etc/elasticsearch/jvm.options
# modify configuration
-Xmx64m
-Xms64m
$ sudo systemctl start elasticsearch
$ systemctl status elasticsearch
$ sudo systemctl enable elasticsearch
$ sudo apt-get install kibana
$ sudo vi /etc/kibana/kibana.yml
server.host: "0.0.0.0"
$ sudo systemctl start kibana
$ systemctl status kibana
$ sudo systemctl enable kibana
$ sudo apt-get install logstash
$ sudo systemctl start logstash
$ systemctl status logstash
$ sudo systemctl enable logstash
2. Settings
$ sudo vim /etc/logstash/conf.d/apache.conf
以下を入力
input {
file {
path=> "/var/log/apache2/access.log"
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "apache"
}
}
再起動
$ sudo systemctl restart logstash.service
Kibanaを開き、Management->Index Patterns -> Create Index Patternでapacheを追加。
これでログが監視できるようになる。
3. Check & Delete
Check
データベースの一覧が返ってくる
$ curl http://localhost:9200/_cat/indices?v
こんな感じに帰ってくる
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
yellow open index YZfpJsZAStOXOSynXNvxpQ 5 1 0 0 868b 868b
yellow open apache m5JbbZVITx6q-LxNHKW-TA 5 1 199 0 534.7kb 534.7kb
yellow open .kibana bngpvzOfRJ2UYLan0WvfYA 1 1 3 0 15.3kb 15.3kb
これでIndexを確認して、いらないデータベースは以下の手順で消す。
Delete
$ curl -XDELETE localhost:9200/index/type/[INDEX NAME]
4. Application
このままだと内部のファイルしか可視化できないため、外部からJSON形式でログを送って保存させる。
それにはHTTP Pluginという元から入っているものを使えばよいが、普通にConfigファイルを記述すると競合してしまう。
以下のようにConfigファイルを書けば競合を防ぐことが出来る。
まずApache
input {
file {
tags => "apache"
path=> "/var/log/apache2/access.log"
}
}
filter {
if "apache" in [tags] {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
}
}
output {
if "apache" in [tags]{
elasticsearch {
hosts => ["localhost:9200"]
index => "apache"
}
}
}
次に外部Json
input {
http {
tags => "external"
host=> "0.0.0.0"
port=> 31000
}
}
output {
if "external" in [tags] {
elasticsearch {
hosts => ["localhost:9200"]
index => "external"
}
}
}
もし、内部ループバックによるログしか(内部からしか)受け取らない場合は127.0.0.1をhostに指定
後はLogstashを再起動して、以下でログ送信
curl -H "content-type: application/json" -XPUT 'http://127.0.0.1:31000/' -d '{
"user" : "log",
"post_date" : "2009-11-15T14:12:12",
"message" : "hello"
}'
受信できていれば完成
因みにURLの後もスラッシュを付けてHeaderを指定できる
'http://127.0.0.1:31000/[Request_URI]'
なのでWebページのクローリング結果等を入れる場合は、WebページのURLをそのまま続けて入れてもよいかもしれない。