- LogStash 配置说明
- 配置 LogStash
- FAQ
- 1. Kibana 里看不到数据
- 1. Kibana 里看不到数据
LogStash 配置说明
本文讲解如何使用 LogStash 采集 OpenRASP 的报警日志,并发送到 ElasticSearch 保存。
配置 LogStash
在开始之前,你需要知道如下信息:
- ElasticSearch 相关信息
- 服务器地址和端口,这里是 192.168.154.200:9200
- 要创建的索引名称,这里是 rasp-%{+YYYY.MM.dd}
- 要使用的数据类型,这里是 attack
alarm-DATE.log 的绝对路径,这里是 /home/tomcat/rasp/logs/alarm/*.log
参数详细说明,请参考如下文档input file plugin 参数说明
- output elasticsearch 参数说明
完整的 LogStash 配置如下 - 仅供参考,注意替换 /home/tomcat 为正确的路径
input {
file {
path => ["/home/tomcat/rasp/logs/alarm/*.log"]
start_position => "beginning"
}
}
filter {
json {
source => "message"
}
}
output {
stdout {
codec => rubydebug
}
}
output {
elasticsearch {
hosts => ["192.168.154.200:9200"]
index => "rasp-%{+YYYY.MM.dd}"
}
}
FAQ
1. Kibana 里看不到数据
首先,确认 Elasticsearch 里是否有数据
在命令行里,执行以下命令,
curl '192.168.154.200:9200/rasp-*/_count'
如果返回 count
字段,则说明 Elasticsearch 存在数据。请检查 Kibana 是否配置了错误的 Elasticsearch 地址?
{"count":420,"_shards":{"total":5,"successful":5,"failed":0}}
其他情况,比如返回 error
字段,e.g IndexMissingException,则说明 Elasticsearch 里没有数据,需要进一步查看原因。
{"error":"IndexMissingException[[attack] missing]","status":404}
然后,检查 OpenRASP 是否工作正常
检查 <app_home>/rasp/logs/alarm/*.log
是否有报警日志?如果没有,可以通过攻击测试用例,来产生一些报警日志。
最后,检查 Logstach 是否正常
如果要采集的路径存在日志,但是 Elasticsearch 里却没有数据,则说明 Logstash 工作不正常。
- input 配置的日志路径是否正确?
原文: https://rasp.baidu.com/doc/setup/log/logstash.html