Logstash - सुरक्षा और निगरानी
इस अध्याय में, हम लॉगस्टैश के सुरक्षा और निगरानी पहलुओं पर चर्चा करेंगे।
निगरानी
लॉगस्टैश उत्पादन वातावरण में सर्वर और सेवाओं की निगरानी के लिए एक बहुत अच्छा उपकरण है। उत्पादन वातावरण में एप्लिकेशन विभिन्न प्रकार के लॉग डेटा का उपयोग करता है जैसे प्रवेश लॉग, त्रुटि लॉग आदि। लॉगस्टैश फ़िल्टर प्लगइन्स का उपयोग करके त्रुटियों, एक्सेस या अन्य घटनाओं की संख्या की गणना या विश्लेषण कर सकता है। इस विश्लेषण और गिनती का उपयोग विभिन्न सर्वरों और उनकी सेवाओं की निगरानी के लिए किया जा सकता है।
Logstash जैसे प्लगइन्स प्रदान करता है HTTP Pollerवेबसाइट की स्थिति की निगरानी के लिए निगरानी करना। यहां, हम नाम की एक वेबसाइट की निगरानी कर रहे हैंmysite एक स्थानीय Apache Tomcat सर्वर पर होस्ट किया गया।
logstash.conf
इस विन्यास फाइल में, http_poller प्लगइन का उपयोग प्लगइन में निर्दिष्ट साइट को हिट करने के लिए किया जाता है, अंतराल सेटिंग में निर्दिष्ट समय अंतराल के बाद। अंत में, यह साइट के मानक मानक आउटपुट को लिखता है।
input {
http_poller {
urls => {
site => "http://localhost:8080/mysite"
}
request_timeout => 20
interval => 30
metadata_target => "http_poller_metadata"
}
}
output {
if [http_poller_metadata][code] == 200 {
stdout {
codec => line{format => "%{http_poller_metadata[response_message]}"}
}
}
if [http_poller_metadata][code] != 200 {
stdout {
codec => line{format => "down"}
}
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड के साथ लॉगस्टैश चला सकते हैं।
>logstash –f logstash.conf
stdout
यदि साइट ऊपर है, तो आउटपुट होगा -
Ok
यदि हम साइट का उपयोग करके रोकते हैं Manager App Tomcat की, आउटपुट में बदल जाएगा -
down
सुरक्षा
लॉगस्टैश बाहरी सिस्टम के साथ सुरक्षित संचार के लिए बहुत सारी सुविधाएँ प्रदान करता है और प्रमाणीकरण तंत्र का समर्थन करता है। सभी लॉगस्टैश प्लगइन्स HTTP कनेक्शन पर प्रमाणीकरण और एन्क्रिप्शन का समर्थन करते हैं।
HTTP प्रोटोकॉल के साथ सुरक्षा
लॉगस्टैश द्वारा की गई विभिन्न प्लगइन्स में प्रमाणीकरण उद्देश्यों के लिए उपयोगकर्ता और पासवर्ड जैसी सेटिंग्स हैं, जैसे कि एलिस्टिक्स खोज प्लगइन।
elasticsearch {
user => <username>
password => <password>
}
अन्य प्रमाणीकरण है PKI (public key infrastructure)Elasticsearch के लिए। डेवलपर को PKI प्रमाणीकरण को सक्षम करने के लिए Elasticsearch आउटपुट प्लगइन में दो सेटिंग्स को परिभाषित करने की आवश्यकता है।
elasticsearch {
keystore => <string_value>
keystore_password => <password>
}
HTTPS प्रोटोकॉल में, एक डेवलपर SSL / TLS के लिए प्राधिकरण के प्रमाण पत्र का उपयोग कर सकता है।
elasticsearch {
ssl => true
cacert => <path to .pem file>
}
परिवहन प्रोटोकॉल के साथ सुरक्षा
एलिस्टिक्स खोज के साथ परिवहन प्रोटोकॉल का उपयोग करने के लिए, उपयोगकर्ताओं को परिवहन के लिए प्रोटोकॉल सेटिंग सेट करने की आवश्यकता होती है। यह JSON वस्तुओं के अन-मार्शलिंग से बचा जाता है और अधिक दक्षता की ओर ले जाता है।
बुनियादी प्रमाणीकरण वही है जो एलिटिक्स खोज आउटपुट प्रोटोकॉल में http प्रोटोकॉल में किया जाता है।
elasticsearch {
protocol => “transport”
user => <username>
password => <password>
}
PKI प्रमाणीकरण को भी एलीस्टेकर्च आउटपुट प्रोटोकॉल में अन्य सेटिंग्स के साथ SSL सेट की आवश्यकता होती है -
elasticsearch {
protocol => “transport”
ssl => true
keystore => <string_value>
keystore_password => <password>
}
अंत में, SSL सुरक्षा के लिए संचार में अन्य सुरक्षा विधियों की तुलना में अधिक सेटिंग्स की आवश्यकता होती है।
elasticsearch {
ssl => true
ssl => true
keystore => <string_value>
keystore_password => <password>
truststore =>
truststore_password => <password> }
Logstash से अन्य सुरक्षा लाभ
लॉगस्टाश इनपुट सिस्टम स्रोतों को सेवा हमलों से इनकार करने से रोकने में मदद कर सकता है। लॉग की निगरानी और उन लॉग में विभिन्न घटनाओं का विश्लेषण सिस्टम प्रशासकों को आने वाले कनेक्शन और त्रुटियों में भिन्नता की जांच करने में मदद कर सकता है। ये विश्लेषण यह देखने में मदद कर सकते हैं कि क्या सर्वर पर हमला हो रहा है या होने वाला है।
एलीस्टेकर्च कंपनी के अन्य उत्पाद जैसे कि x-pack तथा filebeat लॉगस्टैश के साथ सुरक्षित रूप से संवाद करने के लिए कुछ कार्यक्षमता प्रदान करता है।