Visualize logs Apache com pilha de alces

Carl Hintz DDS
Visualize logs Apache com pilha de alces

Monitorando e analisando toras para várias infraestruturas em tempo real pode ser um trabalho muito tedioso. Ao lidar com serviços como servidores da web que registram constantemente os dados, o processo pode ser muito complexo e quase impossível.

Como tal, saber como usar as ferramentas para monitorar, visualizar e analisar logs em tempo real pode ajudá-lo a rastrear e solucionar problemas e monitorar atividades suspeitas do sistema.

Este tutorial discutirá como você pode usar uma das melhores coleções de logs em tempo real e ferramentas de análise- Elk. Usando Elk, comumente conhecido como Elasticsearch, Logstash e Kibana, você pode coletar, registrar e analisar dados de um servidor da Web Apache em tempo real.

O que é pilha de alces?

Elk é um acrônimo usado para se referir a três ferramentas principais de código aberto: Elasticsearch, Logstash e Kibana.

Elasticsearch é uma ferramenta de código aberto desenvolvido para encontrar correspondências em uma grande coleção de conjuntos de dados usando uma seleção de idiomas e tipos de consulta. É uma ferramenta leve e rápida capaz de lidar com terabytes de dados com facilidade.

Logstash O mecanismo é um link entre o lado do servidor e o Elasticsearch, permitindo coletar dados de uma seleção de fontes para o Elasticsearch. Ele oferece APIs poderosas que são integráveis ​​às aplicações desenvolvidas em várias linguagens de programação com facilidade.

Kibana é a peça final da pilha de alces. É uma ferramenta de visualização de dados que permite analisar os dados visualmente e gerar relatórios perspicazes. Ele também oferece gráficos e animações que podem ajudá -lo a interagir com seus dados.

A pilha de alces é muito poderosa e pode fazer uma análise de dados incríveis.

Embora os vários conceitos que discutiremos neste tutorial lhe darão uma boa compreensão da pilha de alces, considere a documentação para obter mais informações.

Elasticsearch: https: // linkfy.para/Elasticsearch-Reference

Logstash: https: // linkfy.para/logstashReference

Kibana: https: // linkfy.para/kibanaguide

Como instalar o Apache?

Antes de começarmos a instalar o Apache e todas as dependências, é bom notar algumas coisas.

Testamos este tutorial sobre o Debian 10.6, mas também funcionará com outras distribuições Linux.

Dependendo da configuração do seu sistema, você precisa de permissões de sudo ou raiz.

A compatibilidade e usabilidade da pilha de alces podem variar dependendo das versões.

O primeiro passo é garantir que você tenha seu sistema totalmente atualizado:

Atualização de sudo apt-get
Atualização de sudo apt-get

O próximo comando é instalar o servidor da web do Apache2. Se você deseja um Apache mínimo instalado, remova a documentação e os utilitários do comando abaixo.

sudo apt-get install apache2 apache2-utils apache2-doc -y
SUDO SERVIÇO APACHE2 START

Até agora, você deve ter um servidor Apache em execução no seu sistema.

Como instalar o Elasticsearch, Logstash e Kibana?

Agora precisamos instalar a pilha de alces. Estaremos instalando cada ferramenta individualmente.

Elasticsearch

Vamos começar instalando o Elasticsearch. Vamos usar o Apt para instalá -lo, mas você pode obter uma versão estável da página de download oficial aqui:

https: // www.elástico.CO/Downloads/Elasticsearch

Elasticsearch exige que Java seja executado. Felizmente, a versão mais recente vem com um pacote OpenJDK, removendo o aborrecimento de instalá -lo manualmente. Se você precisar fazer uma instalação manual, consulte o seguinte recurso:

https: // www.elástico.CO/guia/pt/elasticsearch/reference/corrente/configuração.HTML#JVM-Version

Na próxima etapa, precisamos fazer o download e instalar a chave de assinatura Elastic Apt oficial usando o comando:

wget -qo - https: // artefatos.elástico.Pesquisa de co/gpg-key-elástica | Sudo Apt-Key Add -

Antes de prosseguir, você pode precisar de um pacote APT-Transport-Https (necessário para pacotes servidos por https) antes de prosseguir com a instalação.

sudo apt-get install apt-transport-https

Agora, adicione as informações do APT repo às fontes.lista.Arquivo D.

eco “Deb https: // artefatos.elástico.Co/Pacotes/7.x/apt estável principal ”| sudo tee/etc/apt/fontes.lista.d/elástico-7.x.lista

Em seguida, atualize a lista de pacotes em seu sistema.

Atualização de sudo apt-get

Instale o Elasticsearch usando o comando abaixo:

sudo apt-get Install Elasticsearch

Depois de instalar o Elasticsearch, iniciar e ativar o início dos comandos SystemCTL:

SUDO SystemCTL Daemon-Reload
sudo systemctl atability Elasticsearch.serviço
SUDO SystemCtl Elasticsearch

O serviço pode demorar um pouco para começar. Aguarde alguns minutos e confirme que o serviço está em funcionamento com o comando:

SUDO SYSTEMCTL Elasticsearch.serviço

Usando CURL, teste se a API Elasticsearch está disponível, conforme mostrado na saída JSON abaixo:

Curl -x Get "Localhost: 9200/?bonito"

"Nome": "Debian",
"Cluster_name": "Elasticsearch",
"cluster_uuid": "vzhcutuqssko1ryhqmdwsg",
"versão":
"Número": "7.10.1 ",
"Build_flavor": "Padrão",
"Build_type": "Deb",
"Build_hash": "1C34507E66D7DB1211F66F3513706FDF548736AA",
"Build_date": "2020-12-05T01: 00: 33.671820z ",
"build_snapshot": false,
"Lucene_version": "8.7.0 ",
"minimum_wire_compatibility_version": "6.8.0 ",
"Minimum_index_compatibility_version": "6.0.0-BETA1 "
,
“Slogan”: “Você sabe, para pesquisa”

Como instalar o Logstash?

Instale o pacote Logstash usando o comando:

sudo apt-get install Logstash

Como instalar Kibana?

Digite o comando abaixo para instalar o Kibana:

sudo apt-get install kibana

Como configurar o Elasticsearch, Logstash e Kibana?

Veja como configurar a pilha de alces:

Como configurar o Elasticsearch?

No Elasticsearch, os dados são ordenados em índices. Cada um desses índices tem um ou mais Shard. Um fragmento é um mecanismo de pesquisa independente usado para manusear e gerenciar índices e consultas para um subconjunto em um cluster no Elasticsearch. Um fragmento funciona como uma instância de um índice Lucene.

A instalação padrão do Elasticsearch cria cinco fragmentos e uma réplica para cada índice. Este é um bom mecanismo quando estiver em produção. No entanto, neste tutorial, trabalharemos com um fragmento e sem réplicas.

Comece criando um modelo de índice no formato JSON. No arquivo, definiremos o número de shards como um e zero réplicas para nomes de índices correspondentes (fins de desenvolvimento).

No Elasticsearch, um modelo de índice refere -se à maneira como você instrui o Elasticsearch na configuração do índice durante o processo de criação.

Dentro do arquivo de modelo JSON (index_template.JSON), insira as seguintes instruções:


"modelo":"*",
"configurações":
"índice":
"number_of_shards": 1,
"number_of_replicas": 0


Usando CURL, aplique a configuração JSON no modelo, que será aplicado a todos os índices criados.

CURL -X CUTO http: // localhost: 9200/_template/intafults -h 'content -type: Application/json' -d @index_template.JSON
"reconhecido": true

Uma vez aplicado, o Elasticsearch responderá com uma declaração reconhecida: verdadeira.

Como configurar o Logstash?

Para Logstash reunir logs do Apache, devemos configurá -lo para assistir a quaisquer alterações nos logs coletando, processando e salvando os logs para elasticsearch. Para que isso aconteça, você precisa configurar o caminho de coleção em Logstash.

Comece criando a configuração do Logstash no arquivo/etc/logstash/conf.d/apache.conf

entrada
arquivo
caminho => '/var/www/*/logs/acesso.registro'
tipo => "Apache"


filtro
Grok
Match => "message" => "%CombinedApachelog"


saída
Elasticsearch

Agora certifique -se de ativar e iniciar o serviço Logstash.

sudo systemctl Ativar Logstash.serviço
sudo systemctl iniciar logstash.serviço

Como ativar e configurar Kibana?

Para ativar o kibana, edite o principal .Arquivo de configuração YML localizado em/etc/kibana/kibana.yml. Localize as seguintes entradas e descompor -as. Uma vez feito, use o SystemCTL para iniciar o serviço Kibana.

servidor.Porta: 5601
servidor.Anfitrião: "Localhost"
sudo systemctl habilitar kibana.serviço && sudo systemctl start kibana.serviço

Kibana cria padrões de índice com base nos dados processados. Portanto, você precisa coletar logs usando o Logstash e armazená -los no Elasticsearch, que Kibana pode usar. Use Curl para gerar logs do Apache.

Depois de ter logs do Apache, inicie Kibana no seu navegador usando o endereço http: // localhost: 5601, que lançará a página do índice Kibana.

Em geral, você precisa configurar o padrão de índice usado pelo Kibana para procurar logs e gerar relatórios. Por padrão, Kibana usa o padrão de índice Logstash*, que corresponde a todos os índices padrão gerados pela Logstash.

Se você não tiver nenhuma configuração, clique em Criar para começar a visualizar os logs.

Como ver os logs de Kibana?

À medida que você continua a executar solicitações do Apache, o Logstash coletará os logs e os adicionará ao Elasticsearch. Você pode visualizar esses logs em Kibana clicando na opção Discover no menu esquerdo.

A guia Discover permite visualizar os logs à medida que o servidor os gera. Para visualizar os detalhes de um log, basta clicar no menu suspenso.

Leia e entenda os dados dos logs do Apache.

Como procurar logs?

Na interface Kibana, você encontrará uma barra de pesquisa que permite pesquisar dados usando strings de consulta.

Exemplo: status: ativo

Saiba mais sobre Strings de consulta Elk aqui:

https: // www.elástico.CO/guia/pt/elasticsearch/reference/5.5/Query-DSL-Query-String-Query.HTML#Query-string-syntax

Como estamos lidando com os logs do Apache, uma correspondência possível é um código de status. Portanto, pesquisa:

Resposta: 200

Este código procurará logs com o código de status de 200 (OK) e o exibirá para Kibana.

Como visualizar logs?

Você pode criar painéis visuais em Kibana, selecionando a guia Visualize. Selecione o tipo de painel para criar e selecione seu índice de pesquisa. Você pode usar o padrão para fins de teste.

Conclusão

Neste guia, discutimos uma visão geral de como usar a pilha de alces para gerenciar logs. No entanto, há mais nessas tecnologias que este artigo pode cobrir. Recomendamos explorar por conta própria.

php
Como usar enquanto loop em php?
O loop while é um conceito crucial usado para executar um bloco de código repetidamente até que uma ...
Orlando Green
php
Como usar o Substr_replace Função no PHP
No PHP, substr_replace () é uma função interna usada para substituir uma parte de uma string por out...
Orlando Green
Java
Exemplos de método Java
Tutorial sobre métodos Java, como usar os modificadores de acesso para definir o escopo dos métodos ...
Evan Mueller
Pitão
Python Math Exp
Benny Hilll DDS
Pitão
String de gravação python para arquivo
Marlon Bernhard
Pitão
Como faço para converter uma exceção em uma string em python
Rickey Greenholt
Pitão
Ocorrências de contagem de python na lista
Jackie Blanda
Comandos Linux
Como instalar e ativar a autenticação multifatorial SSH para sistemas Linux
Orlando Green
php
Como buscar a lista de fuso horário do PHP
Pedro Macejkovic
Java
O que são expressões, declarações e blocos em java
Carl Hintz DDS
JavaScript
O que W Metacharacter faz no regexp de JavaScript
Jackie Blanda
Powershell
Como usar o Get-AdPrincipalGroupMembership em PowerShell
Evan Mueller
Docker
Como o Docker difere do desktop do Docker?
Shaun Bogan